Pourriez-vous faire la distinction entre un courriel hameçon (phishing) et un message officiel provenant de votre institution financière? Enfantin, pensez-vous.

Pourriez-vous faire la distinction entre un courriel hameçon (phishing) et un message officiel provenant de votre institution financière? Enfantin, pensez-vous.

C'est sans doute ce que croyaient aussi les participants à une récente étude effectuée par trois étudiants américains des universités Harvard et Berkeley. Neuf fois sur 10, les internautes se sont avérés incapables de différencier un courriel légitime d'un courriel frauduleux. C'est dire à quel point les techniques se raffinent.

Le phénomène est à ce point important aux États-Unis que 81 % des employés interviewés dans le cadre de l'enquête Web@Work Survey affirment avoir subi une attaque par hameçonnage au cours de l'année. Réalisée au printemps 2006, cette étude dresse le portrait de l'usage d'Internet et des logiciels dans les entreprises américaines de 100 employés ou plus.

Bien qu'il n'existe aucune statistique précise sur le sujet au Québec, tous les experts s'entendent pour dire que l'hameçonnage y croît actuellement à un rythme alarmant.

Comment s'y prend-on?

L'approche classique: par un courriel maquillé aux couleurs d'une institution financière, on vous avise que vous avez des problèmes de crédit ou que des tentatives d'usurpation d'identité ont eu lieu sur votre compte bancaire. Dans le but de le réactiver ou de pouvoir de nouveau accéder à votre marge de crédit, on vous invite à vous rendre sur le site de l'institution pour corriger la situation.

L'objectif: obtenir des renseignements comme vos numéros de carte de crédit, des informations sur vos comptes bancaires, votre numéro d'assurance sociale ou des mots de passe qui serviront par la suite au vol d'identité ou d'informations stratégiques.

Certains courriels hameçons sont ciblés, d'autres envoyés aléatoirement.

«Dans le cas de messages personnalisés, les escrocs utilisent des listes de clients ou d'envois marketing qu'ils ont achetés, loués ou volés par intrusions électroniques», précise Jacques Viau, directeur de l'Institut de la sécurité de l'information du Québec (ISIQ).

Les fraudeurs les plus subtils vous invitent à répondre à un sondage qui semble, de prime abord, tout à fait légitime et sans conséquence. On questionne ainsi votre niveau de satisfaction face à l'institution financière, tout cela dans le but, bien sûr, de vous mettre en confiance et de vous inciter par la suite à répondre à des questions bien plus compromettantes.

Dernière tactique en lice: comme il est trop risqué de transmettre des informations personnelles par courriel, on vous invite à communiquer par téléphone avec votre institution financière en vous fournissant un faux numéro 1-800.

Comment les démasquer?

Dans leur forme la plus primaire, il est relativement facile de distinguer un courriel hameçon d'un avis légitime.

«Les messages frauduleux sont souvent truffés de fautes d'orthographe, ne sont pas personnalisés et ne portent habituellement pas de nom d'expéditeur, précise Jacques Viau. Toutefois, comme les fraudeurs ont aussi accès aux mises en garde publiques, il s'avère facile pour eux d'améliorer constamment leurs tactiques.» Et ce, dans le but ultime de gagner votre confiance.

Ainsi, désormais, les plus raffinés rédigent non seulement leurs messages dans un français impeccable mais poussent l'odieux jusqu'à implanter sur votre ordinateur des logiciels pirates qui permettent de rediriger, à votre insu, votre navigateur Web vers les sites de leur choix.

Plus que jamais, il semble donc essentiel de bien protéger son système contre ce type d'intrusions et de ne pas télécharger n'importe quelle application.

Autre mise en garde: ne tenez pas pour acquis qu'un site affichant l'icône d'un cadenas sur la barre d'état de votre navigateur ou dont l'adresse commence par http soit nécessairement sécuritaire. Et ce, même si l'on vous assure du contraire sur certains sites faisant état des bonnes pratiques à adopter tels celui de Visa.

«Les pires fraudeurs peuvent désormais se cacher derrière un site complètement sécurisé. Preuve qu'en matière de sécurité informatique, il ne faut rien tenir pour acquis», reconnaît Jacques Viau.

Certaines consignes demeurent toutefois toujours valables. En règle générale, les institutions financières ne demandent jamais de renseignements confidentiels par Internet.

Pour vérifier la légitimité d'un message, communiquez par téléphone avec votre institution en utilisant un numéro officiel. En outre, pour vous rendre sur le site de votre institution financière, tapez vous-même son adresse Web plutôt que d'utiliser un hyperlien.

Liette D'Amours est directrice des communications au CEFRIO, centre de recherche-action et de transfert spécialisé en appropriation des technologies de l'information.