Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Attaque des mots de passe par phishing

Attaque par phishing : attaque de type « Ingénierie sociale » consistant à récupérer l’information tout simplement en convainquant la victime de la donner.

cr  10.11.2009      r+  05.11.2022      r-  27.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le « Phishing » (« Hameçonnage » ou « Filoutage ») est une attaque de type « Ingénierie sociale » consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part.

La méthode consiste à convaincre l'internaute, d'une manière ou d'une autre, de se rendre sur une page Web imitant parfaitement une page d'un site officiel d'une banque ou d'un organisme ou d'une administration ou d'un site quelconque de très grande taille, comme Yahoo!, utilisant des données d'authentification.

Fabrication d'une page de phishing

Une imitation parfaite d'une page réelle d'un site est d'une simplicité enfantine à réaliser. Vous pouvez, vous-même, copier une page d'un site, en faisant, dans votre navigateur, « Fichier » Fabrication d'une page de phishing - Attaque de mots de passe « Enregistrer sous... ». Vous récupérez instantanément une copie exacte d'une page réelle d'un site réel, avec tout son code HTML, toute sa mise en page, son design, sa charte graphique, tous les liens réels vers les images réelles, les logos réels, les autres pages réelles du site... Les liens présents sont réels et envoient bien vers toutes les rubriques réelles du site réel, etc. ... Le système de navigation est réel... Ouvrez votre sauvegarde de cette page, dans votre navigateur Web, et promenez le curseur de votre souris sur tous ces liens. Regardez les URL - elles sont toutes réelles. Cliquez sur ces liens. Ils vous envoient réellement vers les pages réelles du site réel.

Il ne vous reste plus qu'à effacer le milieu de la page et mettre, à la place, un formulaire de saisie d'identifiants, numéros de compte, numéro de carte bancaire, code secret, etc. et un bouton d'envoi !

Le bouton d'envoi masquera l'URL de destination par un simple script, en JavaScript, faisant apparaître un lien factice vers le site réel afin de rassurer la victime. Le clic sur ce bouton enverra le formulaire, méticuleusement complété par le gogo naïf, ailleurs, sur la machine du cybercriminel.

Une fois cette page d'usurpation réalisée, il suffit de l'héberger sur un serveur (un serveur piraté (hacké), car possédant une faille de sécurité, d'un webmaster quelconque qui ne se rend compte de rien. Il existe des logiciels de recherche de failles de sécurité et de vulnérabilités permettant de détecter des serveurs ou des sites Web mal protégés). Utilisez également les listes d'outils de Web-réputation et les listes d'outils de recherche dans les listes noires.

La mise en exploitation de cette page d'usurpation consiste à lancer un vaste filet pour capturer le maximum d'internautes crédules en très peu de temps, raison pour laquelle la peur est souvent employée (menaces, votre compte va être fermé, pseudo dette et menace d'huissiers et de poursuites judiciaires immédiates, vous avez 24 heures pour vous mettre à jour, etc.).

La campagne de spam (méthode privilégiée) utilise un botnet que le cybercriminel auteur d'une opération de phishing loue, pour une quinzaine de minutes, à un autre cybercriminel « propriétaire » d'un botnet. Ils se connaissent tous dans le Web caché (le Dark Web). Ils ont des forums de discussions cachés où ils vendent et achètent de tout en matière de cybercriminalités. Quinze minutes coûtent une centaine d'€ et sont suffisantes pour envoyer des dizaines de millions de spams. Le serveur qui héberge la page contrefaite se trouve dans un pays off-shore et la page contrefaite n'est disponible que quelques heures puis disparaît. Elle n'est pas traçable et le mal est fait.

Le cybercriminel va à la pêche aux informations qui devraient rester cachées, et c'est vous-même qui allez les lui donner. C'est vous qui êtes le poisson que le cybercriminel ferre (« phishing » dérive du verbe signifiant « aller à la pèche » en anglais - « fishing », une forme verbale (participe présent / le gérondif) du verbe « To fish » (pêcher, aller à la pêche). Des pirates vont à la pêche et vont ferrer le poisson (l'internaute naïf).).

Le cas d'usage le plus répandu du « Phishing » (« Hameçonnage ») est l'envoi massif d'un message, par email (« Spam ») ou par SMS (« SMiShing ») accrocheur afin de récupérer des milliers d'identifiants - Mots de passe - N° de cartes bancaires - N° de comptes bancaires, etc. en quelques minutes.

Le site frauduleux (cette imitation parfaite d'une page d'un site réel d'une banque, d'un fournisseur d'accès Internet, d'un e-commerçant, d'une administration, etc.), vers lequel le gogo crédule est dirigé, va être détecté par des organismes de surveillance comme Lexsi, mais, entre temps, le cybercriminel, quelque part dans le monde, aura récupéré les données de quelques milliers de victimes et les aura déjà dépouillées.

Pour une raison quelconque, le texte va vous convaincre de donner votre « login » et votre « mot de passe », et d'autres données (carte bancaire, numéro de compte, code secret...), que l'attaquant récupère en clair, tout simplement, pour s'attaquer ensuite à vos ressources (piller votre compte bancaire, hacker vos sites Internet, fabriquer une carte de crédit falsifiée, tout savoir sur vous, etc.).

Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre :

  • "EDF - Coupure de votre fourniture d'électricité demain - Veuillez régler immédiatement - Service contentieux."

  • "EDF - Dernière démarche amiable avant coupure"

  • "Suite à un crash de nos systèmes, vérification et réactivation de votre compte"

  • "Urgent - Suspension de votre compte"

  • "Demande de mouvement financier suspect sur votre compte - Veuillez vérifier"

  • "Crédit Lyonnais - Mise à jour de notre système de sécurité"

  • "Confirmation de facturation - Vérifiez les informations"

  • "Société Générale : Une importante information"

  • "Notification de restriction de l'accès au compte"

  • "Problème concernant votre compte"

  • "Notification de connexion à votre compte !"

  • "[Free] Coordonnées non à jour - Ref. #4657682356789"

  • "Confirmation de création de votre espace abonné"

  • "Votre contrat a été modifié"

  • "Confirmez votre adresse de courriel"

  • "Problème sur votre carte bancaire !"

  • "Votre compte d'accès a été limité"

  • "Problème de non réception d'argent sur votre compte"

  • "Problème facture N337624364 du 02/03/2013"

  • "Si vous ne mettez pas à jour vos références, votre compte sera clos sous 24 heures."

  • "Mouvements suspects sur votre compte, vérifiez vos coordonnées."

  • "Le séjour avec hébergement payé que vous avez gagné - Nous n'avons pas reçu votre formulaire de réservation"

  • "Concernant votre compte"

  • "Prélèvement impayé - il vous reste 24 heures avant déclenchement de la procédure judiciaire."

  • "Vous avez gagné le tirage de mercredi."

  • Etc.


Tous les titres qui ressemblent, de près ou de loin, à ceux-là sont des cybercriminalités. Ne jamais les ouvrir. Voir, dans l'encyclopédie, les articles complets sur :

Le « Phishing » (« Hameçonnage » ou « Filoutage ») est une attaque de type « Ingénierie sociale » consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part.

La méthode consiste à convaincre l'internaute, d'une manière ou d'une autre, de se rendre sur une page Web imitant parfaitement une page d'un site officiel d'une banque ou d'un organisme ou d'une administration ou d'un site quelconque de très grande taille, comme Yahoo!, utilisant des données d'authentification.

Fabrication d'une page de phishing

Une imitation parfaite d'une page réelle d'un site est d'une simplicité enfantine à réaliser. Vous pouvez, vous-même, copier une page d'un site, en faisant, dans votre navigateur, « Fichier » Fabrication d'une page de phishing - Attaque de mots de passe « Enregistrer sous... ». Vous récupérez instantanément une copie exacte d'une page réelle d'un site réel, avec tout son code HTML, toute sa mise en page, son design, sa charte graphique, tous les liens réels vers les images réelles, les logos réels, les autres pages réelles du site... Les liens présents sont réels et envoient bien vers toutes les rubriques réelles du site réel, etc. ... Le système de navigation est réel... Ouvrez votre sauvegarde de cette page, dans votre navigateur Web, et promenez le curseur de votre souris sur tous ces liens. Regardez les URL - elles sont toutes réelles. Cliquez sur ces liens. Ils vous envoient réellement vers les pages réelles du site réel.

Il ne vous reste plus qu'à effacer le milieu de la page et mettre, à la place, un formulaire de saisie d'identifiants, numéros de compte, numéro de carte bancaire, code secret, etc. et un bouton d'envoi !

Le bouton d'envoi masquera l'URL de destination par un simple script, en JavaScript, faisant apparaître un lien factice vers le site réel afin de rassurer la victime. Le clic sur ce bouton enverra le formulaire, méticuleusement complété par le gogo naïf, ailleurs, sur la machine du cybercriminel.

Une fois cette page d'usurpation réalisée, il suffit de l'héberger sur un serveur (un serveur piraté (hacké), car possédant une faille de sécurité, d'un webmaster quelconque qui ne se rend compte de rien. Il existe des logiciels de recherche de failles de sécurité et de vulnérabilités permettant de détecter des serveurs ou des sites Web mal protégés). Utilisez également les listes d'outils de Web-réputation et les listes d'outils de recherche dans les listes noires.

La mise en exploitation de cette page d'usurpation consiste à lancer un vaste filet pour capturer le maximum d'internautes crédules en très peu de temps, raison pour laquelle la peur est souvent employée (menaces, votre compte va être fermé, pseudo dette et menace d'huissiers et de poursuites judiciaires immédiates, vous avez 24 heures pour vous mettre à jour, etc.).

La campagne de spam (méthode privilégiée) utilise un botnet que le cybercriminel auteur d'une opération de phishing loue, pour une quinzaine de minutes, à un autre cybercriminel « propriétaire » d'un botnet. Ils se connaissent tous dans le Web caché (le Dark Web). Ils ont des forums de discussions cachés où ils vendent et achètent de tout en matière de cybercriminalités. Quinze minutes coûtent une centaine d'€ et sont suffisantes pour envoyer des dizaines de millions de spams. Le serveur qui héberge la page contrefaite se trouve dans un pays off-shore et la page contrefaite n'est disponible que quelques heures puis disparaît. Elle n'est pas traçable et le mal est fait.

Le cybercriminel va à la pêche aux informations qui devraient rester cachées, et c'est vous-même qui allez les lui donner. C'est vous qui êtes le poisson que le cybercriminel ferre (« phishing » dérive du verbe signifiant « aller à la pèche » en anglais - « fishing », une forme verbale (participe présent / le gérondif) du verbe « To fish » (pêcher, aller à la pêche). Des pirates vont à la pêche et vont ferrer le poisson (l'internaute naïf).).

Le cas d'usage le plus répandu du « Phishing » (« Hameçonnage ») est l'envoi massif d'un message, par email (« Spam ») ou par SMS (« SMiShing ») accrocheur afin de récupérer des milliers d'identifiants - Mots de passe - N° de cartes bancaires - N° de comptes bancaires, etc. en quelques minutes.

Le site frauduleux (cette imitation parfaite d'une page d'un site réel d'une banque, d'un fournisseur d'accès Internet, d'un e-commerçant, d'une administration, etc.), vers lequel le gogo crédule est dirigé, va être détecté par des organismes de surveillance comme Lexsi, mais, entre temps, le cybercriminel, quelque part dans le monde, aura récupéré les données de quelques milliers de victimes et les aura déjà dépouillées.

Pour une raison quelconque, le texte va vous convaincre de donner votre « login » et votre « mot de passe », et d'autres données (carte bancaire, numéro de compte, code secret...), que l'attaquant récupère en clair, tout simplement, pour s'attaquer ensuite à vos ressources (piller votre compte bancaire, hacker vos sites Internet, fabriquer une carte de crédit falsifiée, tout savoir sur vous, etc.).

Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre :

  • "EDF - Coupure de votre fourniture d'électricité demain - Veuillez régler immédiatement - Service contentieux."

  • "EDF - Dernière démarche amiable avant coupure"

  • "Suite à un crash de nos systèmes, vérification et réactivation de votre compte"

  • "Urgent - Suspension de votre compte"

  • "Demande de mouvement financier suspect sur votre compte - Veuillez vérifier"

  • "Crédit Lyonnais - Mise à jour de notre système de sécurité"

  • "Confirmation de facturation - Vérifiez les informations"

  • "Société Générale : Une importante information"

  • "Notification de restriction de l'accès au compte"

  • "Problème concernant votre compte"

  • "Notification de connexion à votre compte !"

  • "[Free] Coordonnées non à jour - Ref. #4657682356789"

  • "Confirmation de création de votre espace abonné"

  • "Votre contrat a été modifié"

  • "Confirmez votre adresse de courriel"

  • "Problème sur votre carte bancaire !"

  • "Votre compte d'accès a été limité"

  • "Problème de non réception d'argent sur votre compte"

  • "Problème facture N337624364 du 02/03/2013"

  • "Si vous ne mettez pas à jour vos références, votre compte sera clos sous 24 heures."

  • "Mouvements suspects sur votre compte, vérifiez vos coordonnées."

  • "Le séjour avec hébergement payé que vous avez gagné - Nous n'avons pas reçu votre formulaire de réservation"

  • "Concernant votre compte"

  • "Prélèvement impayé - il vous reste 24 heures avant déclenchement de la procédure judiciaire."

  • "Vous avez gagné le tirage de mercredi."

  • Etc.


Tous les titres qui ressemblent, de près ou de loin, à ceux-là sont des cybercriminalités. Ne jamais les ouvrir. Voir, dans l'encyclopédie, les articles complets sur :




Dossier (collection) : Mots de passe

Introduction au dossier

Concepts, attaques, défenses
16 formes d'attaques des mots de passe
Attaque en force brute
Attaque Man in the Middle
Attaque par authentification faible
Attaque par authentification frauduleuse
Attaque par caméra de surveillance
Attaque par dictionnaire exhaustif
Attaque par espionnage humain
Attaque par ingénierie sociale
Attaque par keylogger
Attaque par keylogger acoustique
Attaque par keylogger électromagnétique
Attaque par le virus PEBCAK
Attaque par phishing
Attaque par sniffing sur protocole HTTPS
Attaque par tables arc-en-ciel
Attaques célèbres et réussies de mots de passe
Décrypter un hashcode
Double authentification
Générateur de hashcode cryptographique
Générateur de mots de passe
Générateur d'identifiant (pseudo)
Heartbleed (faille dans OpenSSL) affecte les mots de passe
Identifiant
Identifier l'algorithme de hachage utilisé
Jeux de caractères utilisés dans les mots de passe
Logiciels craqueurs de mots de passe
Mot de passe
Mot de passe : test de solidité
Mots de passe imbéciles
Mots de passe par défaut (usine, constructeur, éditeur)
Risque juridique de complicité passive de l'internaute
Virer le mot de passe protégeant le BIOS

Termes (encyclopédie)
CRC
CRC-1
CRC-12
CRC-16
CRC-32
CRC-64
MD5
NTLM
SHA-1
SHA-2
SHA-224
SHA-256
SHA-384
SHA-512
BIOS
Chiffre clé
Clavier virtuel
CMOS
Condensat
Cryptographie
Exploit
Hack
Hacker
Hashcode
Heartbleed
Identifiant
Ingénierie sociale
Keylogger
Login
Mots de passe
Password Cracker
Password Revealer
Password Stealer
Phishing
Rainbow Tables (Tables Arc-en-ciel)
Spyware
UEFI

Logithèque
HashTab - Calcul de condensats (Windows)
SummerProperties - Calcul de condensats