Le
Certa, organe de la
Direction centrale de la sécurité des systèmes d’information,
réserve ses alertes aux cas critiques : seuls quatorze phénomènes de
phishing (ou filoutage, ou vandalisme...) ont été diffusés en 2006. L’alerte
actuelle sur l’attaque du site Internet de la SNCF est donc sérieuse.
L’hypothèse
retenue actuellement est celle d’une aspiration par robot, à l’aveugle, d’adresses
électroniques (et non celle d’une captation frauduleuse de fichiers). C’est ce
qu’explique sur ZDNet.fr David Kopp, directeur de l »éditeur d’antivirus
européen Trend Micro : « Le scénario le plus probable est que
l’attaquant a lancé une attaque massive auprès d’un grand nombre d’adresses et
que dans le lot, il y avait bien des utilisateurs du service en ligne de la SNCF. »
Des internautes ont donc reçu dans leur boîte d’e-mails un message titré «
Urgent : vérification de vos données », et présenté en parfaite imitation d’un
message de la Sncf,
logo à l’appui, et garantie d’une "information chiffrée et protégée avec
le meilleur logiciel de chiffrement dans l’industrie". Le récepteur est
invité à donner ses coordonnées bancaires, son adresse, sa date de naissance,
ses coordonnées téléphoniques, un mot de passe. Le lien affiché dans le message
est bien http://www.sncf-voyages.com ; il dirige
vers un site clone de celui de la
Sncf.
Ce sont des internautes qui ont averti le jour même, le 15 janvier, la Sncf, et apparemment personne
ne serait victime de l’attaque. La
Sncf rappelle sur son site internet qu’elle ne demande « jamais
de communiquer ces informations par courrier électronique ». Mais le pronostic
de renforcement du phishing est avancé par beaucoup, dont David Kopp : « Cette
affaire témoigne du fait que les pirates suivent les tendances du e-commerce. Le
phishing ciblait jusqu’alors les sites bancaires
ou de vente en ligne. Ce type d’attaque s’en prend désormais aux voyagistes
dont le développement sur le Net est très important. » La Sncf est la première
entreprise française d’e-commerce. Selon Trend Micro, fin 2005, 25 000 attaques
avaient été inventoriées dans le monde ; fin 2006, on était à 225 000.
Le Certa liste les
procédures qui permettent aux internautes de se protéger eux-mêmes, les
premiers réflexes à adopter ; par exemple, taper une adresse dans la barre
de navigation plutôt que de cliquer dessus.
Quelle sera la condamnation de Jeffrey Brett Goodin, un Américain âgé de
quarante-cinq ans, arrêté en Californie l’an dernier pour fishing sur base de
fausse page AOL ? Selon les dispositions de la loi américaine de 2003, il
encourt 101 ans de prison. Le jugement sera prononcé le 11 juin prochain.