J'ai déjà longuement abordé la problematique du Phishing, grandement facilitée par un énorme trou de sécurité d'Internet Explorer, maintenant bouché. Ce trou permettait à des sites montés par des escrocs de se faire passer pour des sites légitimes, et de demander à l'utilisateur confiant des informations confidentielles, comme ses le mot de passe de son compte bancaire. A l'époque, Microsoft niait tout impact, avant de corriger le problème dans l'urgence, après deux mois d'attente.

Aujourd'hui, on a les chiffres sur la technique du Phishing. C'est terrifiant. Voici un extrait de l'article de ZDNet, citant un rapport du Gartner Group :

11 millions (d'américains) ont cliqué sur le lien présenté dans le courrier (...) environ 1,78 million d'Américains (2% de l'échantillon) se rappellent "avoir communiqué aux pirates des informations sensibles d'ordre financier ou personnel, comme des numéros de carte de crédit ou des adresses de facturation, en complétant un formulaire sur un site web falsifié"

Plus loin :

le nombre de messages trompeurs a été quasiment multiplié par 1.000 depuis un an. Il atteignait 215.643 en mars dernier, contre seulement 279 cas recensés en octobre 2003.

Voir aussi l'article Phishing, quand tu nous tiens, qui détaille ce qu'est le Phishing.

Le temps me manque pour aborder les techniques pour éviter d'etre victime du Phishing. En particulier, il existe dans Thunderbird et Mozilla Mail des préférences visant à éviter ce genre de chose. C'est promis, j'y reviendrais. En attendant, il faut réfléchir à deux fois avant de cliquer à tort et à travers sur des liens dans des e-mails ! Je reprendrais les suggestions citée dans l'article de ZDNet :

  1. est-il normal que je reçoive un message de cet émetteur ?
  2. le contenu du message est-il conforme à ce que je peux attendre de cet émetteur ?
  3. les éventuelles actions demandées sont-elles légitimes, sans danger et en cohérence avec les deux points précédents ?

S'il est difficile de répondre à l'une de ces questions ou si l'une des réponses est négative, le mail doit être directement supprimé ou faire l'objet d'une analyse plus poussée. Même si cette analyse est loin d'être une garantie à 100%, son application permettra de réduire les risques.