Page d'accueil
encyclopedie-enligne.com en page d'accueil| Page d'accueil |
encyclopedie-enligne.com en page d'accueil |
|||||
| Liste Articles: [0-A] [A-C] [C-F] [F-J] [J-M] [M-P] [P-S] [S-Z] | Liste Catégories | Une page au hasard | Pages liées | ||||||
En informatique, le hameçonnage (en anglais, phishing, raccourci de l'expression password harvesting fishing, soit pêche aux mots de passe) est un terme désignant l'obtention d'informations confidentielles (comme les mots de passe ou d'autres informations privées), en se faisant passer auprès des victimes pour quelqu'un digne de confiance ayant un réel besoin de l'information demandée. C'est une forme d'attaque de type ingénierie sociale.
Ce terme a été inventé au milieu des années 1990 par les crackers qui essayaient de voler des comptes AOL. Un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou pour « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins criminelles, comme l'envoi de polluriels.
De nos jours, les criminels informatiques utilisent le hameçonnage à des fins plus axées sur le vol d'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes du hameçonnage envoient habituellement des polluriels à un grand nombre de victimes potentielles. Ceux-ci redirigent les personnes qui les reçoivent vers une page web qui semble faire partie de leur banque en ligne (par exemple), mais qui en fait intercepte les informations confidentielles et les envoie à l'attaquant.
Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance, et sont formulés de manière à alarmer le destinataire, afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème quelconque, et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message indique alors un lien qui dirige l'utilisateur vers une fausse page web, qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette fausse page, l'utilisateur est invité à rentrer des informations confidentielles qui sont alors capturées par le fraudeur.
La vérification de l'URL dans la barre d'adresse du navigateur web peut ne pas être suffisant pour détecter la supercherie, car certains navigateurs permettent à l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue « propriétés de la page » fournie par le navigateur pour découvrir la véritable adresse de la fausse page.
S'il vous arrive d'être contacté au sujet d'un compte devant être « vérifié », vous devriez chercher à régler le problème directement avec la société concernée, ou vous rendre sur leur site web en tapant manuellement l'adresse dans votre navigateur. En règle générale, il est recommandé de faire suivre le message suspect à l'adresse spoof (par exemple, si vous faites affaire avec societe.com, ce sera spoof@societe.com), ce qui permettra à la société de faire enquête.
Soyez particulièrement vigilant lorsque vous rencontrez une adresse contenant le symbole « @ », par exemple http://www.google.com@members.tripod.com/. Ce genre d'adresse va essayer de vous connecter en tant qu'utilisateur « www.google.com » sur le serveur « members.tripod.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.google.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanquefavorite.com.spamdomain.net/.
