Des bandits dans votre boîte d’e-mails

Le Certa, organe de la Direction centrale de la sécurité des systèmes d’information, réserve ses alertes aux cas critiques : seuls quatorze phénomènes de phishing (ou filoutage, ou vandalisme...) ont été diffusés en 2006. L’alerte actuelle sur l’attaque du site Internet de la SNCF est donc sérieuse.

L’hypothèse retenue actuellement est celle d’une aspiration par robot, à l’aveugle, d’adresses électroniques (et non celle d’une captation frauduleuse de fichiers). C’est ce qu’explique sur ZDNet.fr David Kopp, directeur de l »éditeur d’antivirus européen Trend Micro : « Le scénario le plus probable est que l’attaquant a lancé une attaque massive auprès d’un grand nombre d’adresses et que dans le lot, il y avait bien des utilisateurs du service en ligne de la SNCF. »  

Des internautes ont donc reçu dans leur boîte d’e-mails un message titré «  Urgent : vérification de vos données », et présenté en parfaite imitation d’un message de la Sncf, logo à l’appui, et garantie d’une "information chiffrée et protégée avec le meilleur logiciel de chiffrement dans l’industrie". Le récepteur est invité à donner ses coordonnées bancaires, son adresse, sa date de naissance, ses coordonnées téléphoniques, un mot de passe. Le lien affiché dans le message est bien  http://www.sncf-voyages.com ; il dirige vers un site clone de celui de la Sncf.

Ce sont des internautes qui ont averti le jour même, le 15 janvier, la Sncf, et apparemment personne ne serait victime de l’attaque. La Sncf rappelle sur son site internet qu’elle ne demande « jamais de communiquer ces informations par courrier électronique ». Mais le pronostic de renforcement du phishing est avancé par beaucoup, dont David Kopp : « Cette affaire témoigne du fait que les pirates suivent les tendances du e-commerce. Le phishing ciblait jusqu’alors les sites bancaires ou de vente en ligne. Ce type d’attaque s’en prend désormais aux voyagistes dont le développement sur le Net est très important. » La Sncf est la première entreprise française d’e-commerce. Selon Trend Micro, fin 2005, 25 000 attaques avaient été inventoriées dans le monde ; fin 2006, on était à 225 000.

Le Certa liste les procédures qui permettent aux internautes de se protéger eux-mêmes, les premiers réflexes à adopter ; par exemple, taper une adresse dans la barre de navigation plutôt que de cliquer dessus.

Quelle sera la condamnation de Jeffrey Brett Goodin, un Américain âgé de quarante-cinq ans, arrêté en Californie l’an dernier pour fishing sur base de fausse page AOL ? Selon les dispositions de la loi américaine de 2003, il encourt 101 ans de prison. Le jugement sera prononcé le 11 juin prochain.