ÉCOLOGIE INFORMATIQUE
*
Le pourriel ou le spam (anglicisme) désigne une communication électronique, notamment du courrier électronique, non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes.
Le terme polluriel est, plus rarement, utilisé pour désigner le pourriel.
Le mot pourriel, proposé par l'Office québécois de la langue française en mai 1997, est un mot-valise construit à partir de poubelle et courriel tandis que polluriel est construit à partir de pollution et courriel.
Le mot pourriel est d'usage assez courant, polluriel est plus rarement utilisé (plutôt réservé au contexte des forums de discussion Usenet). La proposition d'officialisation de pourriel par la Commission générale de terminologie et de néologie française a été rejetée par l'Académie française parce que phonétiquement trop proche de courriel. Le mot québécois pourriel a toutefois été consigné dans les éditions récentes du Petit Larousse illustré et du Petit Robert.
Le verbe spammer est souvent utilisé dans le langage familier pour qualifier l'action d'envoyer du pourriel. Le mot spammeur désigne celui qui envoie du pourriel. Les mots polluposter, pollupostage et polluposteur, proposés aussi par l'OQLF, en sont des équivalents.
En France, 95 % des messages échangés courant décembre 2006 étaient des pourriels, selon un article daté du 27 décembre 2006 publié par zdnet.fr. Ce même article indique que ce pourcentage devrait atteindre 99 % courant 2007. Ces pourcentages varient selon les articles publiés, mais la barre des 90 % est toujours dépassée.
Origine du mot anglais
Une boîte de SPAM. L'association de spam et de indésirable provient d'un sketch comique des Monty Python dans lequel le même mot, désignant un jambon en boîte de basse qualité, envahit la conversation et le menu d'un petit restaurant. SPAM est la contraction de SPiced hAM (jambon épicé) et est une marque créée et déposée par Hormel Foods en 19376. Ce sketch7 parodiait d'ailleurs une des premières formes de message indésirable. En effet c'est une publicité radiophonique pour SPAM, pendant laquelle la marque était répétée de nombreuses fois, qui est à l'origine du sketch des Monty Python.
Ce «pât» a largement été utilisé par l'intendance des forces armées US pour la nourriture des soldats. Un dessin dû à la plume du sergent George Baker montre tout le cas que les soldats faisaient de cette nourriture considérée comme une cochonnerie lassante et décourageante. Incidemment George Baker est le créateur d'un personnage devenu célèbre : the Sad Sack paru pour la première fois en 1942 dans Yank dont les dessins ont été réunis par l'éditeur Simon & Schuster en 1944. Dans cet ouvrage vers la fin du volume (non paginé) figure un ensemble de sept dessins dont le titre générique est «SPAM». Le copyright est de 1944. Il s'agirait de la première émergence publique du mot pour désigner un objet repoussant dont on aimerait bien ne pas être le destinataire.
Par opposition au SPAM, les logiciels anti-spam tels que Spamassasin définissent comme HAM, soit Jambon, tout courriel qui n'est pas du SPAM.
Contenu et objectifs du pollupostage
Le pourriel contient généralement de la publicité. Les produits les plus vantés sont les services pornographiques, les médicaments (le plus fréquemment les produits de «dopage sexuel» ou, des hormones utilisées dans la lutte contre le vieillissement), le crédit financier, les casinos en ligne, les montres de contrefaçon, les diplômes falsifiés et les logiciels craqués.
Des escrocs envoient également des propositions prétendant pouvoir vous enrichir rapidement : travail à domicile, conseil d'achat de petites actions (penny stock).
Les lettres en chaînes peuvent aussi être qualifiées de pourriel.
Parfois aussi, mais de plus en plus rarement, il s'agit de messages d'entreprises ignorantes de la Netiquette qui y voient un moyen peu coûteux d'assurer leur promotion.
Certains messages indiquant qu'un courriel n'est pas arrivé à destination peuvent également être qualifiés de pourriel lorsque le message d'origine n'a pas été envoyé par vous même mais par exemple par un virus se faisant passer pour vous.
Enfin la dernière forme de pourriel, l'hameçonnage (phishing en anglais, terme dérivé de fishing, la pêche à la ligne), consiste à tromper le destinataire en faisant passer un courriel pour un message de sa banque ou d'un quelconque service protégé par mot de passe. Le but est de récupérer les données personnelles des destinataires (notamment des mots de passe, un numéro de carte bancaire) en les attirant sur un site factice enregistrant toutes leurs actions.
Pourriel de demande de transfert de fonds
Il s'agit d'un exemple classique de pourriel qui reprend toujours le même principe : le message demande de l'aide afin de transférer des fonds depuis un compte en banque. Le destinataire (supposé compatissant) est censé faire l'intermédiaire pour la transaction.
Les anglophones parlent de nigerian scam (littéralement arnaque nigériane) car une bonne partie de ces messages émanaient du Nigéria. On rencontre aussi le terme de fraude 4-1-9, la numérotation étant relative à un texte de loi du Nigéria.
Pourriel publicitaire
Il s'agit d'une des formes les plus courantes de spam, qui consiste à l'envoi en masse d'un message publicitaire. Les auteurs de ce type de pourriels utilisent souvent des ressources informatiques de manière frauduleuse, telles que des machines zombies, car cela nécessite une grande bande passante et une certaine puissance de calcul pour la génération automatique des adresses destinataires.
Le spam continue d'exister et de prospérer grâce aux revenus qu'il peut engendrer, ce qui motive certains commanditaires car près de 11 % d'internautes admettent avoir acheté un produit suite à la réception d'un pourriel publicitaire, d'après une étude de Sophos.
Le pourriel peut s'attaquer à divers médias électroniques : les courriels, les forums de discussion de Usenet, les moteurs de recherche, les wikis, les messageries instantanées, les blogs.
Par courrier électronique
Le pourriel par courrier électronique est le type de pollupostage le plus répandu. Le coût d'envoi d'un courrier électronique étant négligeable, il est facile d'envoyer un message à des millions de destinataires. Les destinataires assument le coût de réception et de stockage en boîte aux lettres, ce qui peut causer des coûts non négligeables aux prestataires de services, à cause du volume pris par le pourriel qui lui est considérable : 93 % des courriers reçus au printemps 2007 seraient des spams.
Contrairement aux promotions commerciales pour lesquelles les utilisateurs peuvent avoir donné leur accord, le pourriel n'est pas sollicité. Il est souvent rédigé spécialement pour contourner les filtres antipourriels. Un mot clé tel que Viagra (souvent vanté dans les pourriels) peut être ainsi écrit « vi@gr@ » ou « v|agra » ou «v i a g r a» de manière à tromper un filtrage automatique basé sur ce mot. Une autre méthode employée consiste à accompagner un texte anodin d'une image sur laquelle se trouve le véritable message publicitaire, l'absence de mot compromettant en dehors de l'image rendant le filtrage de ces messages très compliqué.
Les polluposteurs redoublent d'imagination pour masquer leurs activités et ne pas être démasqués, que ce soit en falsifiant les adresses d'expéditeur ou en utilisant des serveurs SMTP (serveur de courrier électronique) non sécurisés qui permettent des envois anonymes.
Les adresses à polluposter sont généralement collectées par robot d'indexation. Il existe un marché pour les listes d'adresses (vente de cd-roms contenant des milliers d'adresses...) qui aggrave le phénomène du pollupostage : une fois que votre adresse électronique est divulguée publiquement sur le net et collectée, la divulgation de votre adresse se fera par le biais du marché noir de ces adresses et non plus sur le seul support du Net. Il est donc trop tard pour enlever son adresse du Net à ce moment là, mais préférable tout de même.
Pour éviter d'être polluposté, les internautes font souvent figurer leurs adresses d'une manière masquée lorsqu'elle doit apparaitre dans un site web ou dans Usenet. Par exemple :
[email protected] pour [email protected].
Jean chez exemple point fr pour [email protected]
Jean[at]exemple.fr pour [email protected] (l'arobase se prononçant souvent « at »).
Mais cette méthode est aussi déconseillée car rien n'interdit à l'arroseur (spammer en anglais) de faire un traitement d'enlèvement des drapeaux les plus communs (NOSPAM, AT, chez etc.).
Une autre méthode consiste à encoder son adresse avec un algorithme quelconque (par exemple, remplacer chaque lettre par la suivante dans l'alphabet), et d'insérer dans la page une fonction javascript qui décode. Ainsi rien ne change pour l'internaute qui peut toujours cliquer sur le lien «envoyer un mail», mais l'adresse n'apparaît pas en clair dans la page. Jusqu'ici, les arroseurs n'exécutent pas le code javascript avant de chercher les adresses (trop long, plus complexe, etc.).
Enfin, on peut choisir de communiquer son adresse par une image, ainsi on ne pourra pas la récupérer «facilement» par un robot. Pourvu que cette image soit étirée et maquillée afin qu'un logiciel de reconnaissance de caractères (OCR) ne puisse reconstituer votre adresse (sur le même principe qu'un captcha). Cette dernière méthode est considérée comme la plus sûre, bien qu'elle ait pour inconvénient majeur de la rendre très difficile à lire pour des personnes ayant un handicap visuel.
La méthode la plus sûre est sans doute de ne pas divulguer son adresse personnelle sur le Net, lieu public par excellence, mais de la communiquer seulement à vos amis et à vos proches. Et encore, les serveurs mail peuvent parfois être piratés (autre méthode pour les arroseurs pour collecter des adresses).
*
L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale.
L'hameçonnage peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques.
Étymologie de phishing
Le terme phishing s'inspire du terme phreaking : mot-valise de «phone» et «freak». Originellement, le phreaking était un type d'arnaque utilisé afin de profiter de services téléphoniques gratuits surtout présent dans les années 1970, à l'époque des appareils analogiques.
Le terme phishing aurait été inventé par les pirates qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit «pêche aux mots de passe». Un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, «vérifier son compte AOL» ou «confirmer ses informations bancaires». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de pourriel.
Traductions françaises [modifier]
Les termes hameçonnage et appâtage ont été proposés par l'Office québécois de la langue française (OQLF) en avril 2004 comme traduction française de phishing. Au Canada, hameçonnage est rapidement devenu d’usage courant.
Parmi les autres termes considérés par l'OQLF, mais non retenus, on trouve :
Escroquerie par courriel - Manque de précision ; l'hameçonnage est plutôt une tentative d'escroquerie, car il ne réussit pas à tous les coups et ne constitue sûrement pas la seule façon d'escroquer au moyen du courrier électronique.
Pêche aux données/informations personnelles/confidentielles - Plus descriptif que dénominatif, peut servir de périphrase comme l'expression le réseau des réseaux lorsqu'on parle d'Internet.
Pêche au(x) gogo(s) - Trop péjoratif.
Filoutage - Manque de précision ; peut désigner toute forme d'escroquerie.
Usurpation d'interface - Manque de précision ; l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens principaux utilisés pour effectuer un hameçonnage.
Plus récemment, on a vu apparaître :
Piégeonnage - Un «piégeon» est un pigeon (personne dont on va abuser de la crédulité) via un piège électronique. Cette nouvelle proposition conserve le sens des autres mais apporte un recentrage sur la personne ciblée tout en réutilisant des images pré-existantes du français courant.
Phishing scam peut se traduire par «escroquerie par hameçonnage», et convient lorsque l'hameçonnage a réussi, c'est-à-dire lorsque celui-ci a permis d'escroquer un internaute naïf (OQLF).
Brand spoofing, qui peut se traduire par usurpation de marque ou usurpation d'identité d'entreprise, fait plutôt référence au moyen utilisé pour mener à bien un hameçonnage. (OQLF) (voir Usurpation d'interface, ci-haut).
La Commission générale de terminologie et de néologie de France retient depuis le 12 février 2006 le terme filoutage pour traduire phishing.
Dans le Grand dictionnaire terminologique (GDT), on traduit phisher par hameçonneur (auteur d'un hameçonnage). Le terme a été proposé en mai 2004 par l'OQLF.
Hameçonnage sur Internet
Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay ou Paypal.
Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles.
Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.
En 2007, ces criminels informatiques ont changé de technique, en utilisant un moyen de piratage appelé attaque de l'homme du milieu pour recueillir les informations confidentielles données par l'internaute sur le site visité.
Il existe différentes variantes au Hameçonnage on notera le spear phishing et le in-session phishing qui sont respectivement le hameçonnage ciblé (notamment à l'aide des réseaux sociaux) et le hameçonnage de session (basé sur des pop-up pendant la navigation).
Parades
La vérification de l'adresse web dans la barre d'adresse du navigateur web peut ne pas être suffisante pour détecter la supercherie, car certains navigateurs n'empêchent pas l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue «propriétés de la page» fournie par le navigateur pour découvrir la véritable adresse de la fausse page.
Une personne contactée au sujet d'un compte devant être «vérifié» doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web en tapant manuellement l'adresse dans son navigateur.
Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec l'un de ses clients.
En règle générale, il est recommandé de faire suivre le message suspect à usurpation ou abuse (par exemple, si l'hameçonnage concerne societe.com, ce sera [email protected] ou [email protected]), ce qui permettra à la société de faire une enquête.
Il faut être particulièrement vigilant lorsque l'on rencontre une adresse contenant le symbole «@», par exemple http://[email protected]/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur «www.mabanque.com» sur le serveur «members.unsite.com». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.mabanque.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanque.com.unsite.net/.
Des navigateurs récents, tels que Safari, Firefox, Opera et Internet Explorer 7, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.
Les filtres antipourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être de l'hameçonnage. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayesien très performant (filtre anti-pourriel auto-adaptatif).
Les fraudes concernant les banques en ligne visent à obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virement : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve. D'autres banques utilisent une identification renforcée, qui verrouille l'accès aux virements si l'utilisateur n'indique pas la bonne clé à huit chiffres demandée aléatoirement, parmi les soixante-quatre qu'il possède. Si la clé est la bonne, l'internaute peut effectuer des virements en ligne.
*
-
Sujet : [FREE] Service client - La Mise a jour de compte a eu besoin -
De : [email protected]
Date : 10/03/09 10:57
Cher(e) client(e),
Cet email a ete envoye par L equipe Freebox pour vous informer que nous ne pouvions pas traiter votre paiement recent de facture. Ceci pourrait etre du ? l une ou l autre des raisons suivantes:
1. Un changement recent de vos informations personnelles. (par exemple : adresse de facturation, telephone)
2. Soumission de l information incorrecte pendant le processus de paiement de facture.
En raison de ceci, pour s'assurer que votre service n est pas interrompu, nous vous invitons a confirmer et mettre a jour votre information de facturation aujourd hui Cliquez Ici Pour Une Resolution.
Si vous avez deja confirme votre information de facturation puis veuillez negligent ce message comme nous traitons les modifications que vous avez apportees.
L'équipe Freebox
-
From - Tue Mar 10 14:33:24 2009
X-Account-Key: account2
X-UIDL: 1236679089.10004.mail133.ha.ovh.net,S=3301
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <[email protected]>
Delivered-To: oniros@4
Received: from b0.ovh.net (HELO queue) (213.186.33.50)
by b0.ovh.net with SMTP; 10 Mar 2009 09:58:08 -0000
Received: from nschwmtas05p.mx.bigpond.com (61.9.189.149)
by mx1.ovh.net with SMTP; 10 Mar 2009 09:58:05 -0000
Received-SPF: none (mx1.ovh.net: domain at free.fr does not designate permitted sender hosts)
Received: from nschwotgx03p.mx.bigpond.com ([72.4.29.178])
by nschwmtas05p.mx.bigpond.com with ESMTP
id <20090310095747.DVOZ20836.nschwmtas05p.mx.bigpond.com@nschwotgx03p.mx.bigpond.com>;
Tue, 10 Mar 2009 09:57:47 +0000
Received: from User ([72.4.29.178]) by nschwotgx03p.mx.bigpond.com
with ESMTP
id <20090310095747.DSRU13658.nschwotgx03p.mx.bigpond.com@User>;
Tue, 10 Mar 2009 09:57:47 +0000
From: "Free.fr"<[email protected]>
Subject: [FREE] Service client - La Mise a jour de compte a eu besoin -
Date: Tue, 10 Mar 2009 10:57:50 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Authentication-Info: Submitted using SMTP AUTH LOGIN at nschwotgx03p.mx.bigpond.com from [72.4.29.178] using ID [email protected] at Tue, 10 Mar 2009 09:57:25 +0000
Message-Id: <20090310095747.DSRU13658.nschwotgx03p.mx.bigpond.com@User>
X-RPD-ScanID: Class confirmed; VirusThreatLevel unknown, RefID str=0001.0A150202.49B61503.008F,ss=4,sh,fgs=0
X-Ovh-Tracer-Id: 4155978031776495931
X-Ovh-Remote: 61.9.189.149 (nschwmtas05p.mx.bigpond.com)
X-Ovh-Local: 213.186.33.29 (mx1.ovh.net)
X-Spam-Check: DONE|H 0.5/N
<html>
<table width="780" border="0" cellpadding="0" cellspacing="0">
<tr><td><img src="http://www.freenews.fr/local/cache-vignettes/L138xH51/arton4868-1af75.gif"></td></tr>
</table>
<tr>
<td colspan="1" valign="top">
<table width=75% border="0" cellspacing="0" cellpadding="0">
<BR><p><font face="Verdana" size="2"><strong>Cher(e) client(e)</strong>,</font></p>
<P><font face="Verdana" size="2">Cet email a ete envoye par L equipe Freebox pour vous informer que nous ne pouvions pas traiter votre paiement recent de facture. Ceci pourrait etre du ? l une ou l autre des raisons suivantes:
<br> <br>
1. Un changement recent de vos informations personnelles. (par exemple : adresse de facturation, telephone)<br>
2. Soumission de l information incorrecte pendant le processus de paiement de facture.<br>
<br>
En raison de ceci, pour s'assurer que votre service n est pas interrompu, nous vous invitons a confirmer et mettre a jour votre information de facturation aujourd hui
<a href="http://krisanne.ca/cache/SignIn&co_partnerId=2&pUserId/index2.php">
<font style="FONT-SIZE: 9pt" color="#ff4040"><b><u>Cliquez Ici Pour
Une Resolution</u>.</font></a></b><br><br>
Si vous avez deja confirme votre information de facturation puis veuillez
negligent ce message comme nous traitons les modifications que vous
avez apportees.<br>
<br>
L'équipe <span id="st" name="st">Freebox</span></p>
</body>
</html>
-
Adresse imitée du site Free.fr :
http://century21rais.com/guide/https/www.free.fr/SignIn&co_partnerId=2&pUserId/subscribe.free.fr/
http://century21rais.com/ : un site sud-coréen !
Définition
19/12/7 - Le filoutage, ou phishing, est une technique utilisée par des personnes malveillantes dans le but d’obtenir des informations confidentielles sur leurs victimes puis de s’en servir. Pour ce faire les fraudeurs contactent leurs victimes sous différents prétextes en usurpant l’identité d’un tiers dans lequel la victime pourrait avoir confiance (une banque, un site de commerce…).
Ces "arnaques" visent aujourd’hui principalement les clients des sites bancaires, mais il n’est pas rare de constater qu’elles peuvent aussi s’attaquer aux sites de commerce ou d’organisations caritatives.
Sur l’internet on trouve également le terme d’hameçonnage.
Principe de fonctionnement
Généralement la victime reçoit dans sa messagerie électronique un courriel, semblant provenir de sa banque ou d’un organisme de confiance, lui indiquant qu’un problème est survenu sur son compte. Le contenu du mail est vraisemblable, il utilise le logo de l’organisme bancaire et invite la victime à cliquer sur le lien contenu dans le courrier afin de résoudre ce soi-disant problème. Le lien affiché est d’ailleurs celui de la banque (quand le message est affiché au format HTML).
Exemple d’un courriel de filoutage envoyé à des clients d’une banque
Le lien internet masqué, contenu dans le mail, conduit en fait à un site ressemblant à s’y méprendre au site de la banque ou de l’organisme de confiance. Cette imitation du site bancaire a été déposée par une personne malintentionnée sur un autre site internet compromis. Dès qu’une victime saisit des informations personnelles (coordonnées bancaires, identifiants, mots de passe), celles-ci sont immédiatement envoyées à la personne malveillante qui s’empressera de les utiliser pour vider le compte bancaire de sa victime.
Ces courriers frauduleux ne sont généralement pas ciblés mais envoyés à des milliers d’adresses.
Comment s’en protéger ?
Les banques n’envoient jamais ce genre de courriel : d’une manière générale, une banque ne demandera pas à ses clients de venir saisir leurs informations personnelles dans un courrier électronique. Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.
Préférer saisir des informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.
Ne pas cliquer sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.
Être vigilant lorsqu’un courriel demande des actions urgentes.
Utiliser le filtre contre le filoutage du navigateur internet : la plupart des navigateurs (Microsoft Internet Explorer 7, Mozilla Firefox, Opéra) proposent une fonctionnalité d’avertissement contre le filoutage. Leurs principes peuvent être différents (liste noire, liste blanche, mot clé…) et sans être parfaites, ses fonctions aident à maintenir la vigilance de l’utilisateur.
Utiliser un logiciel de filtre anti-pourriel : la plupart du temps ces tentatives d’escroquerie se diffusent par le biais de courriers électroniques. Même si les logiciels de filtrage ne sont pas parfaits, ils permettent de réduire le nombre de ces courriels.
Ne jamais répondre ou transférer ces courriels.
En cas de doute ou de problème, prendre contact rapidement avec son agence bancaire.
D’une manière générale, être vigilant et faire preuve de bon sens : ne pas croire que ce qui vient de l’internet est forcément vrai.
www.securite-informatique.gouv.fr ¦
DCSSI © 2007
-
Si vous souhaitez réagir à ce portail ou apporter des commentaires sur certains contenus proposés à la consultation, vous pouvez contacter la DCSSI de la façon suivante :
- Par courrier postal : Secrétariat général de la défense nationale DCSSI 51 boulevard de La Tour-Maubourg 75700 Paris 07
- Par courrier électronique : [email protected]
Pour se rendre à la DCSSI
La DCSSI est située à l’hôtel national des Invalides, à l’adresse suivante :
51 boulevard de La Tour-Maubourg Paris (7ème) Métro : ligne 8 (La Tour-Maubourg)
*
Publiée par Alex
le Jeudi 7 Fevrier 2008
Partant du constat que l'internaute moyen n'a qu'une connaissance limitée des menaces auxquelles il s'expose lorsqu'il utilise ses informations personnelles sur Internet, le Secrétariat général à la défense nationale (SGDN) vient de lancer un portail Web dédié à la sécurité informatique. Tourné vers le grand public, il offre un suivi des actualités relatives à cette problématique et des contenus à vocation pédagogique. Dans quelques semaines sera proposé au téléchargement un logiciel «libre et multiplateformes» de diagnostic de la sécurité d'un système informatique, baptisé Ansmo (apprécier le niveau de sécurité d'un micro ordinateur).
Son lancement s'accompagne de l'ouverture d'un second site de sensibilisation du grand public à la sécurité informatique, ainsi que de la signature d'une «Charte sur la promotion de l'authentification» réunissant le gouvernement et une vingtaine d'acteurs de l'Internet, du commerce électronique ou de l'univers de la banque. Cette charte «engage les pouvoirs publics et les principaux acteurs institutionnels du secteur à se mobiliser afin de sensibiliser et d'inciter les internautes à acquérir de bonnes pratiques d'authentification, de protection et de sécurisation des ordinateurs», explique le SGDN.
Mieux vaut prévenir...
Réalisé sous l'égide du SGDN avec le concours d'une vingtaine de partenaires publics et privés ainsi qu'un budget d'environ 400.000 euros, puis confié à la Direction centrale de la sécurité des systèmes d'information qui l'alimentera en contenus, le portail de la sécurité informatique répond à l'une des propositions formulées par le député Pierre Lasbordes en janvier 2006 dans le cadre de son rapport sur la sécurité des systèmes d'information. « Il est nécessaire de former tous les utilisateurs, quels qu'ils soient, à la sécurité informatique », déclarait ce matin Francis Delon, secrétaire générale de la défense nationale. Ce portail devra donc fournir des informations pertinentes aussi bien au véritable profane qu'à la petite entreprise soucieuse de sa politique de sécurité informatique.
On y trouvera notamment les «10 commandements» de la sécurité sur l'Internet, l'idée étant de faire comprendre à l'internaute néophyte comment mettre à jour son système d'exploitation, choisir un mot de passe effiicace, traiter les courriers non sollicités ou évaluer le risque qu'il prend à diffuser ses informations personnelles. Fiches techniques et guides pratiques (comme la création de comptes utilisateur sous les différents systèmes d'exploitation du marché) permettent ensuite d'approfondir le sujet abordé.
En parallèle, la Direction du développement des Médias, rattachée à Matignon, communiquera sur le site « Surfez Intelligent », un site événementiel vraiment grand public réunissant les quelques fondamentaux de la sécurité informatique sous forme vulgarisée.
... que guérir ?
«Ce portail ne suffira sans doute pas à répondre à tous les besoins», reconnait Francis Delon, mais « cette première démarche est vraiment bienvenue ». Enrichi de nombreuses informations et de quelques outils de diagnostic, comme le logiciel Ansmo qui devrait être lancé dans les prochaines semaines, le portail de la sécurité informatique ne sera que d'un secours limité aux internautes qui ont déjà été victimes d'une menace informatique. «Portail de référence, il vise à fédérer au profit du plus grand nombre une information technique de qualité», résume le SGDN.
*
AP - 11/3/9 - La police roumaine a arrêté 20 personnes soupçonnées d'avoir mis en ligne des pages internet imitant les sites officiels de banques afin de collecter les informations confidentielles des clients et de vider ainsi leurs comptes.
Cette cyber-fraude a fait des victimes en Italie et en Espagne et a pu rapporter aux pirates plusieurs centaines de milliers d'euros, selon les estimations de Stefan Negrila, chef de l'unité de police contre le crime organisé à Timisoara, dans l'ouest de la Roumanie.
Les 20 arrestations, menées mercredi à Timisoara mais aussi à Caransebes, Lugoj, Pitesti et Hunedoara, interviennent après un an de surveillance de ces réseaux. AP
*
Source : SECUSER.COM
Une nouvelle escroquerie par phishing cible les utilisateurs francophones du service de paiement en ligne Paypal. Elle se présente sous la forme d'un courrier électronique en français intitulé "Veuillez Reconstituer Votre Accès De Compte", envoyé en apparence par Paypal ([email protected])
Il ne faut pas cliquer sur le lien contenu dans le courrier électronique, car il conduit à une imitation du site de Paypal contrôlée par un individu malveillant. L'adresse du lien hypertexte figurant dans le code source du message n'est pas celle du service de paiement en ligne : elle conduit à une page hébergée chez l'hébergeur français Jexiste.fr.
Si par contre vous avez été abusé et avez communiqué ces renseignements à l'auteur du phishing, connectez-vous immédiatement au véritable site de la société dont l'identité a été usurpée en saisissant manuellement son adresse dans votre navigateur, puis changez votre mot de passe afin d'empêcher le détournement de votre compte.
En fonction des informations transmises, il peut être nécessaire d'entreprendre d'autres actions, notamment faire opposition si vous avez communiqué votre numéro de carte bancaire.
—
Phishing : Paypal France visé (27/1/2009)
