Comment un organisme financier peut se protéger du phishing

Le détournement de données personnelles souvent nommé phishing (hameçonnage) est un risque auquel sont de plus en plus souvent confrontés les organismes financiers. Si les serveurs de ces sociétés sont régulièrement attaqués en vue d’y pénétrer pour exploiter ou détruire les données, les hackers utilisent des méthodes en apparence moins agressives, mais tout aussi dangereuses. Le phishing en fait partie en exploitant certaines failles techniques, mais également la méconnaissance des utilisateurs.

Si le risque zéro n’existe pas, les organismes financiers se doivent de protéger au maximum les données de leurs clients. Diverses protections sont installées pour parer au plus grand nombre possible de menaces, mais doivent rester suffisamment souples pour ne pas nuire à l’interface mise à disposition de l’utilisateur. Un site web « entouré de barbelés » aurait pour effet d’être repoussant, soit un objectif contraire à son rôle original.

Un exemple est la consultation des comptes bancaires par Internet. S’il est facile d’interdire l’accès du fait d’une origine géographique inhabituelle de la demande de connexion, la raison peut être un simple séjour à l’étranger du titulaire du compte. Celui-ci risque fort de ne pas apprécier l’impossibilité de se connecter et de reprocher cette barrière à sa banque. L’inverse avec un accès sans limites peut également être source de reproches, les deux situations mettant les organismes financiers dans une position difficile. Il s’agit par conséquent de trouver le juste milieu, ce qui n’est jamais aisé dans le domaine de la sécurité.

C’est ce qui explique que les organismes financiers privilégient la prévention en multipliant les messages incitant à la méfiance. Dans de nombreux cas, c’est en effet l’utilisateur lui-même qui fournit à son insu la clé permettant d’accéder à ses données personnelles. Un email à l’en-tête très officiel incitant pour diverses raisons à se connecter sur un service financier dont l’utilisateur est client est une méthode classique du phishing. Après avoir cliqué sur le lien intégré au courrier électronique, l’utilisateur se retrouve sur le site officiel du service. C’est du moins ce que les apparences laissent croire, l’interface n’étant qu’une imitation. Une fois entrés l’identifiant et le mot de passe, le bouton de confirmation marque la fin du voyage, ce dont avait besoin le hacker ayant été récupéré. Pour l’utilisateur, il ne s’agit que d’un dysfonctionnement passager n’ayant aucune raison d’inciter à la méfiance.

Mais les établissements financiers ne sont pas les seuls cibles, comme le montre l’attaque récente de Orange (fournisseur d’accès internet et téléphonique), tous les types de commerces sont des cibles potentiels. Dans ce cadre le Groupe Chèque Déjeuner (avantages sociaux pour les entreprises tels que les chèques restaurant) mène un travail important sur la sécurité de ses clients car ce sont des données sensibles (comptes bancaires, nombre d’employés…) de milliers d’entreprises qui sont en jeu.

Les établissements "para financiers" qui touchent le grand public ou les myriades de libéraux (avocat, médecins, consultant) sont aussi concernés.  L'expert comptable en ligne, qui offre des services de comptabilité de nouvelle génération, peut potentiellement aussi être la cible de phishers.

Pour contrer ces emails frauduleux, les organismes financiers multiplient les preuves de l’authenticité de leurs envois. Il en est ainsi des emails contenant des informations telles que le nom, le prénom et l’adresse qui ont pour objectif d’apporter la preuve de leur origine. À cela, s’ajoutent des campagnes d’informations incitant les clients à la plus grande prudence lors des échanges de courrier ou d’opérations sensibles tels que transferts de compte à compte et autres mouvements de fonds.

Pour les établissements financiers, c’est leur crédibilité qui est engagée, et ce même si ce sont les utilisateurs qui sont à l’origine indirecte de la plupart des cas de fraudes. Le phishing est en effet devenu un mode de fonctionnement très répandu chez les hackers, qui parviennent à imiter au plus près tant les sites web que les emails officiels. Tous ceux ne se prenant pas pour des poissons doivent par conséquent se méfier de l'hameçonnage.

A qui appartient réellement ce site douteux ?

Rentrer le nom de domaine suspect sans les "www"

Exemple: raphaelrichard.net