Autrefois bourrés de fautes, les courriels d'hameçonnage, dont peuvent potentiellement être victimes les 800 000 clients d'Orange dont les données ont été piratées, se perfectionnent sans cesse pour tromper les utilisateurs et leur soustraire des informations confidentielles.
Dimanche, le premier opérateur français a indiqué qu'une intrusion avait eu lieu dans ses bases de données le 16 janvier, et qu'«un nombre limité» de données personnelles - nom, prénom et adresse postale, affirme Orange - relatives à 800 000 de ses clients internet avaient été dérobées.
Ce type d'intrusion informatique est souvent mené à des fins d'hameçonnage: grâce à ces informations, les cybercriminels se font plus facilement passer pour un tiers de confiance - banque, opérateur télécoms, caisse d'assurance maladie - et attirent les utilisateurs pour qu'ils rentrent leurs mots de passe ou leur numéro de carte/compte bancaire, en les redirigeant vers des sites «miroir» qui reproduisent fidèlement logos et identité visuelle des interlocuteurs présumés.
Exemples typiques: «l'accès à votre code bancaire a été bloqué pour des raisons de sécurité. Merci de bien vouloir vous reconnecter ci-dessous avec votre ancien mot de passe pour le reconfigurer», ou «l'allocation de rentrée scolaire est revalorisée, pour accélérer votre remboursement, veuillez cliquer ci-dessous et remplir le formulaire».
Après une intrusion comme celle perpétrée chez Orange, «il y a deux utilisations possibles des données volées: la revente, avec des prix allant de 25 centimes par information à plusieurs dizaines, voire une centaine d'euros s'il s'agit de données bancaires. Et il y a aussi l'utilisation directe de ces données pour créer des courriels d'hameçonnage apparaissant le plus crédible possible afin d'augmenter le taux de clic», indique à l'AFP Gérôme Billois, expert du cabinet de conseil Solucom.
«Une information en apparence toute simple, comme celle sur la composition du foyer, va permettre d'envoyer un courriel personnalisé: ''avec vos deux enfants, vous venez de souscrire de nouveaux forfaits mobiles; l'un de ces abonnements connaît un problème, merci de nous contacter''», cite-t-il en exemple.
Un «vrai métier»
Car autant «il y a quelques années, la tendance était plutôt de faire de l'hameçonnage de masse avec plein de fautes d'orthographe, aujourd'hui on est sur l'hameçonnage de plus en plus évolué, qui se base sur des informations privées qui ne peuvent être connues que par des acteurs de confiance», explique Gérôme Billois.
Pour résumer, «il n'y a plus d'improvisation dans l'hameçonnage, mais beaucoup de préparation, c'est un vrai métier. Les pirates s'y connaissent en web design (conception de pages web, ndlr), ils s'adaptent aussi en fonction des pays visés, de la langue utilisée», renchérit Jean-François Beuze, président de l'entreprise de sécurisation des systèmes d'information Sifaris.
«L'ensemble des courriels frauduleux, ou au moins leur contenu, étaient déjà certainement prêts (au moment de l'intrusion chez Orange). Tout comme ont sûrement déjà été achetés des noms de domaine (desquels vont être envoyés les courriels, ndlr) sur le modèle ''orange-relationsclients.fr''», détaille M. Beuze.
«Mais au vu de la campagne de médiatisation d'Orange», et du fait que l'opérateur a prévenu les clients concernés par le vol de données, «les clients vont sans doute être plus vigilants, et les cybercriminels vont aussi peut-être retarder leur campagne d'hameçonnage afin qu'elle soit plus productive dans le temps», estime-t-il.
Du côté du gouvernement, la ministre déléguée à l'Économie numérique, Fleur Pellerin, a estimé lundi sur France Inter que même si «le risque zéro» d'intrusion et de vol de données «n'existe pas, il faut mettre tous les instruments en place pour éviter que cette faille ne se reproduise, et pour protéger les citoyens».
Et s'il est important «de renforcer les moyens à la disposition des services de police ainsi que les moyens des opérateurs», Mme Pellerin juge également qu'il faut «encourager aussi les consommateurs à se méfier» par des actions de sensibilisation.