Les techniques de phishing les plus répandues consistent en l’envoi de messages électroniques sous une fausse identité ou en l’installation d’un programme malicieux sur le poste de l’internaute. Dans le premier cas, les messages reçus invitent l’internaute à se rendre sur un site contrôlé par les fraudeurs, en prétextant un incident de sécurité ou une maintenance. Lesdits sites demandent alors à l’utilisateur la saisie de données personnelles ou confidentielles. Dans le second cas, des programmes malicieux sont installés sur le poste des internautes, en circonvenant parfois l’éventuel anti-virus ou pare-feu. Ces programmes accèdent aux informations non-protégées sur le disque dur ou enregistrent les données saisies, notamment dans les formulaires, puis envoient les informations capturées. Ils peuvent également permettre à des fraudeurs de prendre à distance le contrôle du poste de l’internaute.
La sophistication des techniques de phishing est variable. Dans la majorité des cas, la tentative de vol d’informations est manifeste et les fraudeurs comptent sur la sensibilisation insuffisante de certains internautes à ces techniques. Toutefois, dans des cas plus rares, les attaques sont très élaborées. Ainsi, le message électronique reçu et le site sur lequel sont redirigés les internautes peuvent paraître crédibles (reproduction de l’apparence visuelle d’un vrai site, modification de la barre d’adresse du navigateur, création d’une session faussement sécurisée, etc.). En outre, les techniques consistant à installer un programme malicieux sur le poste de l’internaute sont particulièrement pernicieuses car elles sont généralement transparentes pour l’utilisateur.
Dans le domaine des cartes de paiement, les données recherchées prioritairement par les fraudeurs sont le numéro de carte, sa date d’expiration, ou encore - lorsqu’ils existent - le code confidentiel utilisé pour les paiements de proximité et le numéro de contrôle nécessaire à la validation des paiements à distance. Les données capturées peuvent principalement être exploitées frauduleusement pour réaliser des paiements à distance.
La France est jusqu’à présent relativement épargnée par ces techniques de vol d’informations, mais il est probable que celles-ci ne tarderont pas à se développer comme on a pu le constater dans d’autres pays.
Le nombre croissant de tentatives de phishing s’explique essentiellement par l’existence de deux types de vulnérabilités dont l’exploitation conjointe peut avoir un impact sur la sécurité des transactions par carte.
Premièrement, le vol d’informations personnelles ou confidentielles est réalisable car le réseau Internet et les systèmes d’exploitation actuels sont intrinsèquement vulnérables. En outre, la sécurité du poste informatique dépend en grande partie de la connaissance des utilisateurs dans les nouvelles technologies. Dans ce cadre, il semble difficile d’assurer une protection totale des données personnelles et confidentielles contre les tentatives de vol : il n’existe pas de parade absolue garantissant l’échec des tentatives de vol d’informations sur Internet.
Deuxièmement, la sécurité des transactions en mode vente à distance repose dans la plupart des cas uniquement sur des paramètres statiques. Les données d’identification ou d’authentification requis pour la validation de l’ordre de paiement peuvent ainsi être identiques à chaque transaction. Cette caractéristique peut être exploitée principalement pour initier un paiement frauduleux à distance, sans présence physique de la carte. L’amélioration des protocoles d’authentification à distance en incluant la protection contre les tentatives de rejeu serait de nature à réduire significativement le risque induit. |
