D'après le Tribunal , les victimes de phishing sont aussi coupables d’avoir été piégées

La cour de cassation confirme que si vous êtes des victimes de phishing, c’est de votre faute.

Je vous expliquais, depuis plusieurs mois, que certaines banques ne voulaient plus rembourser leurs clients victimes de phishing. Les entreprises bancaires considèrent que les clients étaient assez informés, aujourd’hui, pour ne plus se faire avoir par un hameçonnage.

La justice vient de donner raison aux banques. Par un arrêt du 25 octobre 2017, la Cour de cassation a annulé le jugement d’un tribunal de Calais qui avait ordonné à la Caisse du crédit mutuel du Nord de la Ville de Calais de rembourser un client, piégé par un phishing.

#phishing en cours aux couleurs d'Orange. Prudence, Url efficace ! #cybersecurite @OrangeCertCC @zataz pic.twitter.com/zlJAtoPwJK

— Damien Bancal (@Damien_Bancal) September 5, 2017

L’attaque, aux couleurs de SFR, a réclamé à une cliente du CMN ses informations bancaires. Le pirate s’est empressé de les utiliser.

Par deux fois, la victime va recevoir un code 3D Secure qui aurait dû lui mettre la puce à l’oreille. Cette double authentification apparue sur son smartphone aurait dû l’alerter sur un achat en cours qu’elle n’avait pas provoqué.

La cour de cassation considère que la calaisienne n’avait pas pris toutes les précautions pour sécuriser son compte bancaire. Il faut aussi que dans son cas, elle n’y a pas été avec le dos de sa carte bancaire en fournissant : login, mot de passe, identité, CVV (le code chiffré derrière la CB, le 3D secure reçu par SMS, …).

Mais ne tirons pas sur l’ambulance. Le phishing continue à faire des victimes. Des internautes de bonne fois piégés par l’ingéniosité des pirates.

Repérer le phishing

Arrêtons de penser que tout le monde est sur le même pied d’égalité sur le web. Des rappels et une écoute de ceux qui ont moins de connaissance fera que nous serons tous capables de répondre et de nous défendre face à ce genre d’attaque.

Voici les grands points à retenir pour s’assurer que le courriel que vous venez de recevoir, que le site que vous êtes en train de visiter, est bien légitime et ne vous mettra pas en danger.

Jamais une banque, l’administration fiscale, votre Fournisseur d’accès, votre opérateur téléphonique ne vous réclamerons votre mot de passe, vos données bancaires par courrier électronique. Si cela devait arriver.

NE FOURNISSEZ JAMAIS ces informations sans avoir eu un interlocuteur au téléphone pour connaitre la raison de cette demande, le but final de cette réclamation, la sauvegarde de vos données …

Le courriel

Très souvent bourré de fautes d’orthographe et de grammaire, ce détail tant à disparaitre. Les pirates se professionnalisent et les kits de phishing reprennent de plus en plus les contenus officiels des opérateurs usurpés. Vous pouvez cependant dans le courriel repérer des éléments qui vous alerterons.

D’abord, l’adresse de l’émetteur. Même si ce contrôle peut être aléatoire, le pirate pouvant aussi usurper l’adresse d’une société, une adresse tirée d’un webmail comme gMail, Yahoo!, La Poste, … doivent vous mettre la puce à l’oreille.

Le Crédit Mutuel du Nord, BNP-Paribas ou encore FREE ne vous contacteront jamais via un gmail.com ? Ensuite, l’url proposé dans le courriel. Pas besoin de cliquer dessus. Passez votre souris sur le lien (sans cliquer donc, NDR) et lisez l’information que va afficher votre logiciel de réception de courriel.

Comme je vous le montre ci-dessous : les informations ne sont pas identiques ? il y a un piège ! Attention, cependant à ce détail. Certaines sociétés passent par des services extérieurs transformant l’adresse web officielle en un URL marketing différent de l’original. Dans tous les cas, au moindre doute. Le courriel va à la poubelle !

Le site web

Comme je peux vous le montrer ci-dessous, plusieurs détails doivent vous interroger sur la légitimité du site que vous êtes en train de visiter. Premier détail, est-il en HTTPS. Pour rappel, le S voulant dire « Sécurisé ». Attention, justement, à ce détail. Les créateurs de filoutage peuvent utiliser cette indication rassurante. Ce n’est pas parce que le site est en HTTPS que ce dernier est légitime. Vous trouverez d’ailleurs des explications sur le HTTPS sur le portail de la société HTTPCS.

Ensuite, l’url ! Vérifiez l’adresse. https://www.zataz.com n’est pas za|az.com ; paypal-accounts.com-dataaccountslimit.com/myaccount/ ou encore paypal-update-user.com ne sont pas des adresses Paypal.com ; www.secure-societegenerale-authpass.com n’est bien évidement pas un site Société General ; fvceb0ok.yolasite.com n’est pas Facebook.com ; … Préférez bookmarker dans votre navigateur l’adresse web que vous utilisez.

Mieux encore, tapez l’adresse de l’entreprise qui vous contacte directement dans votre navigateur afin de visiter l’espace officiel. Une petite application pour Firefox et Chrome, baptisée Netcraft, peut vous aider à vérifier le site que vous visitez. Prudence aussi aux redictions : tinyurl.com, bit.ly.

Pour finir, au moindre doute, le courriel va à la poubelle ! Au moindre doute, contactez par téléphone l’entreprise qui vous a écrit. Au moindre doute, alertez votre entourage.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ - Journaliste - Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel "Amstar & CPC".

Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l'Echo des Savanes, Le Canard Enchaîné, France 3, ...). Auteurs et coauteurs de 6 livres dont "Pirates & hackers sur Internet" (Ed. Desmart) ; "Hacker, le 5ème pouvoir" (Ed. Maxima).

Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) de l'Université de Valenciennes ; pour l'Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.