La protection de la vie privée dans un système de gestion d'identité

IV.4.3.1. L'hameçonnage reposant sur les logiciels malveillants

Bien que les logiciels malveillants ne soient pas le seul moyen par lequel un ordinateur peut être corrompu, ils offrent à l'attaquant la commodité, la facilité d'utilisation et

l'automatisme permettant de mener des attaques à grande échelle qui, sans cela, ne seraient pas possibles faute de compétences et/ou de capacité. Les types d'attaques suivants illustrent les formes que peut prendre l'hameçonnage automatisé :

> Le « pharming »

Les attaques d'hameçonnage reposant sur les logiciels malveillants peuvent revêtir diverses formes. Ces attaques adoptent souvent la technique du « pharming » (ou du « warkitting ») qui utilise le même genre d'identifiants maquillés que dans une attaque d'hameçonnage classique mais qui, en outre, redirige les utilisateurs, d'un site Internet authentique (d'une banque, par exemple) vers un site frauduleux qui reproduit l'apparence de l'original. Quand l'utilisateur connecte son ordinateur au serveur Internet d'une banque, par exemple, une résolution de nom d'hôte a lieu, qui convertit le nom de domaine de la banque (tel que « banque.com ») en une adresse IP composée de chiffres (telle que 138.25.456.562). C'est au cours de ce processus que les escrocs interviennent et changent l'adresse IP.

> L'attaque de « l'homme du milieu »

L'attaque de « l'homme du milieu » est un autre exemple d'hameçonnage reposant sur des logiciels malveillants. Cette expression décrit le processus par lequel l'hameçonneur collecte des données personnelles en interceptant le message d'un utilisateur de l'Internet qui était à destination d'un site légitime. Dans l'environnement actuel de convergence de l'Internet, deux autres techniques, reposant sur des appareils autres que des ordinateurs, sont employées depuis peu par les hameçonneurs pour voler des identités.

> Le « SmiShing »

L'hameçonnage continue de se répandre en touchant des appareils externes tels que les téléphones mobiles. En vertu de cette technique naissante, l'utilisateur d'un téléphone mobile reçoit un message de texte (un SMS) où une compagnie lui confirme qu'il a souscrit à un des ses services de rencontres, en indiquant qu'il lui sera facturé une certaine somme par jour s'il n'annule pas sa commande en se connectant au site Internet de cette compagnie. Ce site Internet est en fait corrompu et est utilisé pour voler les informations personnelles de l'utilisateur.

> Le « Vishing »

La téléphonie sur Protocole Internet (« Voice over Internet Protocol » ou « VoIP ») offre également un nouveau moyen pour dérober les informations personnelles des individus par le biais des téléphones. Dans ce cas, l'hameçonneur envoie un message électronique maquillé classique, présenté comme provenant d'une entreprise ou institution légitime et invitant le destinataire à former un numéro de téléphone. Les victimes se sentent habituellement plus en sûreté dans ce cas de figure, étant donné qu'il ne leur est pas demandé de se connecter à un site Internet où elles fourniraient leurs informations personnelles. Quand elles appellent, un répondeur automatique leur demande de saisir des informations personnelles telles qu'un numéro de compte, un mot de passe ou autre information à des fins prétendues de « vérification de sécurité ». Dans certains cas, l'hameçonneur ne recourt même pas à un message électronique et appelle à froid les consommateurs pour leur soutirer des informations financières.