Antihameçonnage 101

À la demande de deux copains un peu technos nouilles, de bien tristes sires qui ont tout sifflé mon vin samedi soir dernier, voici comment on fait pour déterminer, quasiment hors de tout doute, qu’un courriel provenant soi-disant d’une institution sérieuse constitue une manœuvre d’hameçonnage. Cette requête fait suite à une discussion sur la criminalité informatique où, avais-je expliqué à mes deux boit-sans-soif, que le courriel était une voie prisée des bandits pour s’infiltrer dans nos PC à des fins inavouables.

Pour illustrer, je vais utiliser deux courriels, l’un de PayPal en date de samedi et l’autre de la Banque Laurentienne reçu il y a trois semaines. Vous constaterez que dans les deux cas, le français est d’une qualité acceptable. Cela démontre qu’on ne peut plus se fier à l’équation “courriel d’hameçonnage = français de piètre qualité”.

L’exemple de PayPal

Si vous cliquez sur la vignette ici à droite, la missive aux couleurs de PayPal vous apparaîtra grandeur nature. Auquel cas, vous pourrez constater qu’elle ressemble à un vrai courriel d’affaires. Tout semble conforme : texte neutre, adresse officielle, logo et hyperliens. Un seul problème, l’adresse de provenance du courriel; le domaine est “payqal.fr” au lieu de “paypal.fr”

Évidemment, si vous n’avez pas de compte chez PayPal, il est plus que probable que vous ne lirez même pas le foutu message. Mais en cas contraire, il est possible que, l’adresse “payqal.fr” vous ayant échappé, vous lisiez le texte et il se peut que vous souhaitiez en savoir plus sur un éventuel compte “PayPal Business”. Alors, là, si vous ne vous adonnez pas à une petite vérification très simple, tout est en place pour vous faire hameçonner.

Avant même de titiller le lien bien tartiné de jaune que l’on vous brandit, cliquez sur le document (pas sur un lien) et passez doucement votre souris sur les hyperliens. La flèche se transforme alors en petite main et une bulle apparaît avec la vraie adresse Internet, celle où l’émetteur du courriel veut vous entraîner.

Dans ce cas précis, vous retrouvez deux types d’adresses (illustrations ci-après), l’un pointant chez PayPal, ce qui confère de la crédibilité au document; le pigeon est mis en confiance. L’autre pointe vers le piège tendu par les hordes cybersataniques. Pourquoi une telle affirmation ? Parce que le domaine “mnialive.com” qui apparaît dans l’adresse contenue dans la bulle, appartient au gouvernement du Montserrat, une petite île volcanique des Antilles qui relève de la Grande-Bretagne et qui fait tout pour plaire aux touristes; elle n’ira sûrement pas se prêter à une opération de publicourriel à odeur de soufre (cliquez sur la vignette ci-après).

Dans ce cas précis, vous retrouvez deux types d’adresses (illustrations ci-haut), l’un pointant chez PayPal, ce qui confère de la crédibilité au document, l’autre vers le piège tendu. Pourquoi une telle affirmation ? Parce que le domaine “mnialive.com” qui apparaît dans l’adresse contenue dans la bulle, appartient au gouvernement du Montserrat, une petite île antillaise relevant de la Grande-Bretagne (cliquez sur la vignette ci-après).

Ce que voyant, votre gros bon sens vous indique ainsi deux choses : primo, aucun gouvernement, incluant celui du Montserrat, ne va permettre à PayPal d’utiliser son site Web pour gérer ses clients et, secundo, il est plus que probable que le site montserratien se soit fait hacker.

Relisez l’adresse : “http://mnialive.com/home/payme_onliner/Processing.php”. Les malfaiteurs ont réussi à s’infiltrer sur “mnialive.com” et ils ont ajouté un répertoire “payme_onliner/Processing.php”, répertoire en php qui a pu sévir pendant quelques heures avant de se faire repérer et détruire.

À preuve, si vous cliquez ce matin sur le lien, vous arrivez soit à une erreur 404 (Chrome ou Safari), soit à une page d’alerte (IE8, Firefox ou Opera). Eussiez-vous cliqué avant la mise à mort du piège, vous seriez arrivé sur une page soi-disant confidentielle, mais dont l’adresse (URL) commençait par “http://” au lieu de “https://”. La loi est simple : jamais au grand jamais il ne faut inscrire de l’info personnelle sur un site qui n’a pas de s après http.

L’exemple de la Banque Laurentienne

Même si je suis client de la Banque Laurentienne, je suis toujours étonné de recevoir un courriel de sondage de cette institution (cliquez sur la vignette ici à gauche). Habituellement, les courriels de source financière sont des arnaques maladroitement maquillées qui, la plupart de temps, visent Desjardins. Une autre institution qui semble assez populaire chez les malfrats, c’est la Scotia Bank, du moins si je me fie à ce qui entre dans ma boîte de courriel publique (ndumais@me.com).

Pourtant, dans ce cas-ci, si vous étudiez le lien donnant accès à l’enquête,
“https://cc3na.voxco.com//Survey/Intweb.dll/Project/BLC/MEC_Fr/pin=BO236095″, vous constatez qu’il pointe sur une page sécurisée (https), une page identifiée au système de sondage Web Voxco et que l’acronyme BLC pour (La Banque Laurentienne) y apparaît comme il se doit après “Projet”. Si vous cliquez sur ce lien, vous arrivez effectivement au sondage.

Morale, avant de crier au loup devant un message bancaire, il faut regarder.

Avis : j’utilise personnellement des machines sous Windows, Mac OS X et Linux et je n’ai aucune préférence; en fait j’ai une relation d’amour-haine avec chacune. Si vous croyez que je suis parti-pris envers l’une ou l’autre de ces plates-formes, je vous soumets respectueusement que vous avez tort et ne peux vous recommander que de consulter mes chroniques antérieures.

Tags: arnaque, Banque Laurentienne, hameçonnage, PayPal, Sécurité

imoi

3 mai 2010
16h24

Je ne prend pas de chances, je renvoie automatiquement tout ce qui vient de Desjardins (ma banque, eh, caisse) dans le junk. Ils sont avertis, s’ils veulent communiquer avec moi, c’est par courrier postal ou téléphone.

Pisst! M. Dumais. y’a une coquille dans les Tags à hemeçonnage, je pense ;)
noirod

3 mai 2010
16h30

Malheureusement avec tout ce qu il y a a explorer sur le net on devient téméraire un peu et on établit des contacts avec un peu n importe qui ce qui nous amene progressivement a baisser notre garde.
Comme ligne de conduite de base nous ne devrions jamais ouvrir un courriel qui nous parvient d un inconnu. Les institutions financieres n utilisentront jamais le courriel pour nous rejoindre. Ce qui ne veut pas dire qu un jour ils ne le feront pas mais si vous etes assez naifs pour donner votre n.i.p. bonne chance !
Aussi si vous recevez des courriels d entreprises que vous n avez jamais contacté en premier c est louche de mem que tout contact a qui vous n avez jamais donné votre adresse courriel.
Ces temps ci il y en a plein comme le classique decouvrez qui cous a bloqué sur msn qui est une courroie de transmission de virus et aussi des contacts qui veulent te faire decouvrir un site commercial de reve …Pensez y deux secondes…
Je crois qu avec le phénomene réseaux sociaux la négligeance nous guette plus que jamais…Je suppose qu il faut tomber pour mieux se relever…
nelson_dumais

3 mai 2010
16h31

Merci iVous. J’ai fait la correction.
hdufort

3 mai 2010
16h34

Les institutions financières devraient toujours nous envoyer des liens vers leur propre domaine, quitte à nous rediriger ensuite vers le site de sondage. Sinon le citoyen ordinaire a de la difficulté à s’y retrouver.
danimal091

3 mai 2010
17h04

@Nelson, Merci pour les infos. Peut-on avertir les autorités canadiennes là-dessus??? GRC ou autres. Comment faire? Doit-on se contenter d’éliminer les courriels?

A+
superlulu

3 mai 2010
17h08

Depuis 3 semaines, je reçois des courriels de Paypal.fr Ces leurs pages sont très bien faites et semblent véridiques.
Comme javais un peu de tempsa à perdre, j’ai cliqué sur le lien, qui m’a amené sur un site en tout points semblable à la page de connection de Paypal.

Par contre j’ai entré comme identification mon courriel, (ils l’avaient déjà, puisque ills mont envoyé un courriel. Ensuite comme mot de passe, j’ai mis QWERTY123, celà a été refusé, me demandant mes informations exactes. J’ai retapé le mêm mot de passe, et Bingo, j’étais sur une page me demandant ma carte de crédit et tout le tralala. J’ai arrêté à ce point. Je n’avais quand même pas tant de temps à perdre…
enfaitjelesaispasvraiment

3 mai 2010
17h12

Merci pour l’article hautement pertinent!
Mais je ne comprend toujours pas pourquoi le “s” est si important à la fin du “http”. Les Hackers ne peuvent pas faire en sorte de contourner ce problème? Je m’y connais bien peu en trucs malhonnêtes!
phazon

3 mai 2010
17h34

En fait, encore plus simple…

On vous demande votre mot-de-passe dans un courriel? FRAUDE
plante_ca

3 mai 2010
18h02

Vous nous avez averti plusieurs fois de cet hameçonnage possible mais je ne vois pas comment les malhonnêtes puissent entrer dans nos PC.

Vous mentionnez, “que le courriel était une voie prisée des bandits pour s’infiltrer dans nos PC à des fins inavouables” ….
N’est ce pas plutôt pour entrer dans nos comptes de banque….

J’aimerais que vous fassiez une chronique sur la réalité de “s’infiltrer dans nos PC à des fins inavouables”. C’est à dire prendre en charge le PC, changer des données, modifier les fureteurs, créer des répertoires fantômes et y placer des données inconnues etc, etc …
nelson_dumais

3 mai 2010
18h18

@ plante_ca

Téléphonez (514 840-7492) ou écrivez à Jacques Viau à l’ISIQ. Il va vous donner la chair de poule.
alexanticosti

3 mai 2010
19h30

J’appuie danimal091 , suggestion d’un bon texte sur ce qui se fait et ne se fait pas au Canada et ailleurs pour mettre la main au collet des méchants qui font rien qu’à faire le mal.

Tu bé-bé-bégaies Nelson ? Ou c’est l’excès de vin… Avant et après les illustrations sur les adresses internet où le malfrat veut nous diriger se trouve plus ou moins le même texte, écrit différemment.

Alex.
dennis_dubeau

3 mai 2010
19h42

@ Nelson

Moi, j’aimerais bien que vous m’invitiez à visiter votre cave à vins… Burpssss…!!
wyztix

3 mai 2010
22h52

@enfaitjelesaispasvraiment
Pour cela il faut connaitre comment fonctionne les certificats. Toutefois, pour y aller simple, il s’agit d’endosser le site. Chaque browser a une liste de signature connues (Verisign, Microsoft etc.). Ces sites sont considere de confiance par votre fureteur. Lorsque je recois un certificat, mon browser regarde donc s’il reconnait ce cerficat. Si ce n’est pas le cas, il regarde s’il est endosser (signe) par un certificat qu’il connait. Si ce n’est pas le cas, il me donne une erreur de certificat et me laisse choisir si je veux, ou non, faire confiance a ce certificat.

Etant donne que les banques et autres grandes organisations sont toutes endosse/connues par les browsers, nous ne voyons pas de problemes. Pour un site pirate, cela fonctionnera differement. Si je voulais avec une connection securise, je dois donc soit 1) etre connu du browser ou 2) etre endosse par une compagnie externe. Ces deux options demandent une telle quantite de travail pour le resultat que les pirates ne s’en donnent pas la peine, utilisant le web non securise a la place.

Si on allait en terme humain:

Je rencontre une personne au bar qui me demande de l’argent. Avant de lui en donne je me pose la question: est-ce que A) je la connais ou B) une de mes connaissance la connait et se porte garant de sa fiabilite. Sans une de ces deux options, je ne lui donnerais pas d’argent. Alors au lieu de prendre du temps a soit vous connaitre, ou connaitre une de vos connaissance, afin de vous soustraire de l’argent, le mecreant prend ce temps en se disant qu’il finira bien par attraper un naif.
spat

4 mai 2010
10h21

M.Dumais

Je ne comprends pas votre entetement à de longues explications…

Expliquer le “pourquoi du quoi” et le “voici comment on fait pour voir” confond l’usager moyen bien plus que vous ne l’aidiez.

La règle #1 de l’anti-hammeconnage est TRÈS TRÈS SIMPLE… JAMAIS et j’insiste sur le mot… une institution honnête vous enverra un courriel à la maison vous demandant de vous connecter pour règler quoi que ce soit.. ou peu importe… JAMAIS…

Ma banque ne connait pas mon courriel personnel et ne le connaitra pas…

S’ils veulent communiquer avec moi, il y a un systeme de communication dans le service bancaire.

donc l’anti-hammeconnage se résume à… NE RÉPONDEZ JAMAIS, NE CLIQUEZ PAS DE LIEN…. JAMAIS…

Merci
cyb007

4 mai 2010
10h25

J’avais quelques autres bonnes tactiques…
-ne jamais entrez son vrai mot de passe,
- attendre quelques jours et voir si le site est toujours fonctionnels

mais maintenant les fureteurs mon enlever se plaisir car ils bloquent l’accès aux sites.
lemelinm

4 mai 2010
15h35

Bonjour M. Dumais
Je communique avec vous pour la raison suivante: exactement comme prévu, la suite OpenOffice de Sun Microsystem, maintenant propriété de Oracle va devenir payante. Ci joint l’adresse d’une offre que je viens de recevoir par courriel:
http://www.oracle.com/store/oracleoffice?msgid=email-link1-button-shopnow-ooo-em0100&eid=4859867531&lid=1
Qu’en pensez-vous?
Mario Lemelin
nelson_dumais

4 mai 2010
15h49

@ lemelinm

C’est hors sujet mais je vais quand même vous répondre. Il ne faut pas confondre OpenOffice.org et StarOffice. Si le premier découle de l’autre, il est gratuit et l’autre ne l’est pas. Depuis qu’Oracle a acheté Sun Microsystems, StarOffice (propriété de Sun) est devenu Oracle OpenOffice, un produit qui continue à ne pas être gratuit.

Mais je vous accorde qu’il y a confusion.
phantoman

4 mai 2010
16h05

@wiztix

“Je rencontre une personne au bar qui me demande de l’argent”.

Bin là, c’est clair, c’est une pute. Au moins avec les putes, tu obtiens ses faveurs en retour.

PS: Nelson, s’il y a des enfants qui écoutent, libre a toi de me censurer.
jmv1

4 mai 2010
16h35

@ wyztix

Belle analogie!

@ spat

Ma banque m’envoie régulièrement des courriels pour faire la publicité de ses produits : placements, REER, etc. Elle a donc mon adresse courriel. Par contre, elle ne me demande jamais de renseignements personnels, comme mon numéro de compte ou mon mot de passe. Là-dessus, vous avez raison.
bellcod

4 mai 2010
17h05

Je regrette mais j’envoie régulièrement des montants d’argent à mes enfants, et ce par interac.
Et quand on reçoit de l’argent on doit cliquer sur le lien et choisir notre institution bancaire et entrer nos coordonnées pour déposer l’argent dans le compte de notre institution financière.

Évidemment il y a un mot de passe ou question secrète à laquelle il faut répondre.
Que ce soit Scotia ou Banque de Montréal ce courriel demande aux gens d’entrer leur mot de passe et numéro de carte bancaire.

Et ce n’est pas de l’hameçonnage.