logosectetserlogosectetserlogosectetserlogosectetser
  • Accueil
  • Securite web
    • developpement web
  • Louer un site web
  • Formation
  • Blog
  • Nous contacter
    • Carrière
LA PHRASE DE PASSE
15 mai 2020
LES ANTIVIRUS POUR TELEPHONES
29 mai 2020
22 mai 2020

Au cours de l’une de nos précédentes publications, nous avons parlé de l’attaque par l’homme du milieu ou Man In The Middle (MITM). Si vous ne l’avez pas encore lu, vous pouvez le faire dès maintenant ici.

Aujourd’hui nous allons parler d’une autre attaque qui est aussi courante que le MITM, qui est le phishing.

Il faudrait savoir que « l’hameçonnage est la forme de cyberattaque la plus simple et, en même temps, la plus dangereuse et la plus efficace. »

L’hameçonnage (l’anglicisme phishing) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d’identité, date de naissance, etc. En effet, le plus souvent, une copie exacte d’un site internet est réalisée dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi saisir ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime et pourra dérober tout ce que la victime possède sur ce site. L’attaque peut aussi être réalisée par courrier électronique ou autres moyens électroniques.

Lorsque cette technique utilise les SMS pour obtenir des renseignements personnels, elle s’appelle SMiShing.

Le phishing fait partir des techniques dites de l’ingénierie sociale ou social engineering et est un groupe de techniques qui consiste à utiliser « les failles de l’humain ».

Les criminels informatiques utilisent généralement l’hameçonnage pour voler de l’argent ou des données personnelles qui peuvent être revendues au marché noir. Les cibles les plus courantes sont les services bancaires en ligne, les fournisseurs d’accès à internet, les sites de ventes aux enchères tels qu’eBay, et le système de paiement Paypal. Les adeptes de l’hameçonnage envoient habituellement des courriels à un grand nombre de victimes (phishing de masse).

 

 

 

Typiquement, les messages ainsi envoyés semblent émaner d’une société digne de confiance et sont formulés de manière à alarmer le destinataire afin qu’il effectue une action en conséquence. Une approche souvent utilisée est d’indiquer à la victime que son compte a été désactivé à cause d’un problème et que la réactivation ne sera possible qu’en cas d’action de sa part. Le message fournit alors un hyperlien qui dirige l’utilisateur vers une page Web qui ressemble à s’y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page falsifiée, l’utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

Afin d’entretenir la confusion, il arrive que l’utilisateur soit ensuite redirigé vers la vraie adresse du site web, sur lequel l’authentification lui est à nouveau demandée.

 

Mais comment éviter le phishing ?

Il existe plusieurs méthodes ou moyens pour éviter de se faire avoir par le phishing.

  • Vérification de l’orthographe du nom de domaine

La vérification de l’adresse web dans la barre d’adresse du navigateur web est la première parade. Ainsi, une attaque simple consiste à utiliser un nom de domaine très semblable (par exemple avec une faute grammaticale ou orthographique), comme https://www.societegeneral.fr au lieu de https://www.societegenerale.fr L’attaquant aura préalablement acheté un nom de domaine proche de l’original, généralement une variante orthographique.

  • Vérification de l’absence d’arobase (@) dans l’URL

Dans les années 1990 et au début des années 2000, une méthode très utilisée était la possibilité de laisser au sein de l’URL le nom d’utilisateur et le mot de passe dans le cadre d’une authentification HTTP. L’URL prend alors la forme « https://login:motdepasse@www.domaine.tld ».

À cette époque, il était fréquent que les URLs comportent une longue chaîne de caractère pour identifier la session de l’utilisateur. Par exemple, une telle URL pouvait ressembler à:

« https://www.domaine.tld/my.cnf?id=56452575711&res=lorem-ipsum-dolor&quux=2&lang=fr&sessid=jP3ie3qjSebbZRsC0c9dpcLVe2cAh0sCza3jcX7mSuRzwY4N0v1DBB71DMKNkbS »

Les attaquants concevaient dès lors une URL ressemblant à celle ci-dessus, en écrivant le nom de domaine usurpé comme login. Par exemple, pour convaincre l’utilisateur que le site qu’il visite est bien www.societegenerale.fr, et que l’adresse IP du serveur de l’attaquant est 88.132.11.17, l’URL pouvait être:

« https://www.societegenerale.fr/espaceclient:id=56452575711&res=lorem-ipsum-dolor&quux=2&lang=frsessid=jP3ie3qjSebbZRsC0c9dpcLVe2cAh0sCza3jcX7mSuRzwY4N0v1DBB71DMKNkbS@88.132.11.17 ».

Du fait de cette technique d’hameçonnage, les navigateurs web ont été améliorés afin de prévenir leurs utilisateurs lorsqu’ils détectent cette manœuvre. Ainsi, dans le cas précédent, le navigateur Firefox proposerait le message suivant :

Vous êtes sur le point de vous connecter au site « 88.132.11.17 » avec le nom d’utilisateur « a », mais ce site web ne nécessite pas d’authentification. Il peut s’agir d’une tentative pour vous induire en erreur.

« 88.132.11.17 » est-il bien le site que vous voulez visiter ?

Cette technique d’hameçonnage est donc aujourd’hui minoritaire.

  • Vérifier l’absence de caractères Unicode

Une méthode plus élaborée pour masquer le nom de domaine réel consiste à utiliser des caractères bien choisis parmi les dizaines de milliers de caractères du répertoire Unicode. En effet, certains caractères spéciaux ont l’apparence des caractères de l’alphabet latin. Ainsi, l’adresse web https://www.pаypal.com/ a la même apparence que https://www.paypal.com/, mais est pourtant bien différente car elle renvoie vers un site web différent. De même, https://www.airfrạnce.com aura la même apparence que https://www.airfrance.com, surtout si le navigateur souligne l’adresse internet.

Une contre-mesure à cette attaque est de ne pas permettre l’affichage des caractères hors du répertoire ASCII, qui ne contient que les lettres de A à Z, les chiffres et de la ponctuation. Cette dernière contre-mesure est cependant difficilement compatible avec l’internationalisation des noms de domaine, qui requiert le jeu de caractères Unicode.

  • Vérifier les certificats électroniques

Il existe depuis les années 1990 une parade technique à l’hameçonnage : le certificat électronique. Toutefois, l’interface utilisateur des navigateurs Web a longtemps rendu les certificats incompréhensibles pour les visiteurs. Cette interface était connue sous les traits d’un petit cadenas. Il était simplement expliqué au grand public que le cadenas signifie que la communication est chiffrée, ce qui est vrai, mais ne protège aucunement contre l’hameçonnage. Dans les années 2000, des certificats étendus ont été inventés. Ils permettent d’afficher plus clairement l’identité vérifiée d’un site.

  • Écrire manuellement les URL

Une personne contactée au sujet d’un compte devant être « vérifié » doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web en tapant manuellement l’adresse dans la barre d’adresse dans son navigateur web plutôt qu’en cliquant sur un lien qui lui aurait été fourni. Il faut savoir que les sociétés bancaires n’utilisent jamais la communication par courriel pour corriger un problème de sécurité avec leurs clients. En règle générale, il est recommandé de faire suivre le message suspect à la société concernée, ce qui lui permettra de faire une enquête.

  • Autres parades

Les filtres anti-spam aident à protéger l’utilisateur des criminels informatiques par le fait qu’ils réduisent le nombre de courriels que les utilisateurs reçoivent et par conséquent les risques d’hameçonnage. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayésien très performant (c’est un filtre anti-spam auto-adaptatif).

Les fraudes concernant les banques en ligne visent à obtenir l’identifiant et le mot de passe du titulaire d’un compte. Il devient ensuite possible au fraudeur de se connecter sur le site web de la banque et d’effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n’autorisent plus l’internaute à saisir lui-même le compte destinataire du virement : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve.

D’autres banques utilisent une identification renforcée, qui verrouille l’accès aux virements si l’utilisateur n’indique pas la bonne clé à huit chiffres demandée aléatoirement, parmi les soixante-quatre qu’il possède. Si la clé est la bonne, l’internaute peut effectuer des virements en ligne.

En France, les internautes sont invités à communiquer avec la cellule de veille de la police nationale pour témoigner de leurs propres (mauvaises) expériences ou leur envoyer des liens conduisant à des sites qu’ils jugent contraires aux lois. Ils ont pour cela à leur disposition un site internet dédié : https://www.internet-signalement.gouv.fr.

Pour aider les internautes à se protéger contre ces fraudes, l’association à but non lucratif Phishing Initiative a été créée en 2010 : elle permet à tout internaute de signaler les sites web frauduleux francophones pour les faire bloquer.

Quelques exemples de phishing

Image 1 : Affiche publicitaire montrant une campagne de phishing impliquant Orange France

Image 2 : Affiche montrant l’image des différentes possibilités qu’offre le phishing à un attaquant

Prenez soin de vous…

#Stay_Safe

Paterne TIA

 

 

5 / 5 ( 1 vote )
Share
2

Related posts

11 juin 2020

LES IPHONES SONT-ILS VRAIMENT INVIOLABLES ?


lire plus
29 mai 2020

LES ANTIVIRUS POUR TELEPHONES


lire plus
15 mai 2020

LA PHRASE DE PASSE


lire plus

Laisser un commentaire Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

douze − 4 =

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Cours INITIATIC

Articles les plus vus

  • BONNE NOUVELLE, FAUSSE NOUVELLE (104)
  • COMMENT INSTALLER UNE APPLICATION ANDROID SANS PASSER PAR PLAYSTORE INSTALLER UNE APPLICATION SUR ANDROID SANS PASSER PAR PLAYSTORE (98)
  • L’APPEL DE LA MORT (62)

FACEBOOK: SECTESTER

Security Tester – Sectester

19 hours ago

Security Tester - Sectester

🟢😱 Multiples vulnérabilités dans les produits VMWare👉SYSTÈMES AFFECTÉSvCenter Server versions antérieures à 7.0 U1cvCenter Server versions antérieures à 6.7 U3lvCenter Server versions antérieures à 6.5 U3nCloud Foundation (vCenter Server) versions antérieures à 4.2Cloud Foundation (vCenter Server) versions antérieures à 3.10.1.2ESXi versions antérieures à ESXi70U1c-17325551ESXi versions antérieures à ESXi670-202102401-SGESXi versions antérieures à ESXi650-202102101-SGCloud Foundation (ESXi) versions antérieures à 4.2Cloud Foundation (ESXi) versions antérieures à 3.10.1.2 ou sans le correctif de sécurité KB82705De multiples vulnérabilités ont été découvertes dans les produits VMWare. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.#update#vmware#sectesterOffrez-vous un site web professionnel à partir de 500 Fcfa 👉https://sectester.io/ouvrezvousaumonde/

…


Photo

View on Facebook

·
Share



Share on Facebook



Share on Twitter



Share on Linked In



Share by Email

Security Tester – Sectester

2 days ago

Security Tester - Sectester

L’un des premiers échantillons de logiciels malveillants conçus pour fonctionner nativement sur les puces M1 d’Apple a été découvert, suggérant un nouveau développement qui indique que les mauvais acteurs ont commencé à adapter les logiciels malveillants pour cibler la dernière génération de Mac de l’entreprise alimenté par ses propres processeurs.Peu importe l’environnement de production soyons prudents.source: hackernews#sectester#AppleOffrez-vous un site web professionnel à partir de 500 Fcfa 👉https://sectester.io/ouvrezvousaumonde/

…


Photo

View on Facebook

·
Share



Share on Facebook



Share on Twitter



Share on Linked In



Share by Email

Security Tester – Sectester

6 days ago

Security Tester - Sectester

🟢 Bon à savoir.Si Internet était un pays, il serait le 6e plus gros pollueur du monde.Avec 3,5 millions d’emails envoyés par seconde en 2020 et une empreinte carbone par email de 10g, les emails jouent un rôle non négligeable dans la pollution d’internet.#sectester#internetwww.sectester.io

…


Photo

View on Facebook

·
Share



Share on Facebook



Share on Twitter



Share on Linked In



Share by Email

Security Tester – Sectester

7 days ago

Security Tester - Sectester

🟢Vous avez été HACKÉS ! (et vous ne le savez même pas 😑😑)Le titre d’une vidéo d’un youtubeur qui est très évocateur, car la plupart du temps, on ne sait pas comment réagir lorsque nous sommes victimes d’un piratage. OUI ! Souvent, c’est le cas, mais pas moyens de le savoir et cela n’est pas toujours de notre fait, mais du fournisseur de service…Alors comment faire pour le savoir et quelle attitude adoptée dans un tel cas.Merci de suivre cette vidéo 👉👉 bit.ly/3jXpAEyDites nous en commentaire comment vous faites pour éviter d’être dans un tel cas 😊#sectesterOffrez-vous un site web professionnel à partir de 500 Fcfa 👉https://sectester.io/ouvrezvousaumonde/

…

Vous avez été HACKÉS ! (Et vous ne le savez même pas 😰)

bit.ly

Salut c’est Léo de la chaîne TechMaker et aujourd’hui, on va parler des nouvelles attaques massives en informatique… Mais est-ce que ces piratages sont VRA…

View on Facebook

·
Share



Share on Facebook



Share on Twitter



Share on Linked In



Share by Email

Security Tester – Sectester

2 weeks ago

Security Tester - Sectester

🥶😱3 milliards de mots de passe dans la nature : #Gmail, #Hotmail, #Netflix ou encore #LinkedIn concernésUne base de données baptisée #COMB, pour "Compilation of Many Breaches", a récemment été mis en ligne par des pirates informatiques. Elle est composée de 3,2 milliards de combinaisons d’e-mails et de mots de passe.En effet, il s’agit d’une compilation de données personnelles sensibles volées lors de précédentes incursions dans les systèmes informatiques de plusieurs entreprises. On y trouve des données récupérées lors de l’exploitation d’anciennes failles de sécurité chez Google (Gmail), Microsoft (Hotmail, LinkedIn) ou Netflix. Entre autres.👉👉Un outil pour savoir si l’on est concernéon trouve sur le site CyberNews un moteur de recherche qui permet de voir, en entrant son e-mail, si l’on fait partie des personnes dont les identifiants sont listés dans cette base de données.👉https://bit.ly/2Z7FJxA⚠Les précautions d’usage: utiliser l’identification à deux facteurs lorsqu’elle est proposée, utiliser un mot de passe fort et différent pour chaque site et service, et rester méfiant face à tout e-mail suspicieux.source: lesnumeriqueswww.sectester.ioOffrez-vous un site web professionnel à partir de 500 Fcfa 👉https://sectester.io/ouvrezvousaumonde/

…


Photo

View on Facebook

·
Share



Share on Facebook



Share on Twitter



Share on Linked In



Share by Email

Sectester

Spécialiste dans l'audit et la sécurité web, nous mettons notre savoir faire à votre service pour sécuriser votre site web et éduquer vos employés sur la sécurité en ligne.

Services

– Audit & Sécurité web
– Conception web
– Formation
– Conception d’application de gestion

Nous contacter

contact
Support

+225 07 89 27 27 52
+225 01 43 72 32 42
+225 05 54 08 26 02
contact@sectester.io

© 2020 SECTESTER. All Rights Reserved.