CVFM lance une alerte contre le phishing.
23 avril 2004

Un phénomène du piratage de comptes bancaires qui explose outre Atlantique: le phishing. Il consiste à envoyer un email au client d'une banque pour lui demander ses codes d'accès sous prétexte de vérification, en se faisant passer pour sa banque. Ensuite, les "phisers" se connectent au compte bancaire des victimes pour effectuer des virements vers des comptes offshore.

Ces six derniers mois, le nombre de cas de phishing a augmenté de 1.200 pour cent, mettant des utilisateurs d'internet ainsi que de nombreuses entreprises américaines de renom en danger. Ces chiffres sont communiqués par MessageLabs Inc., une société newyorkaise spécialisée dans le sécurisation du courrier électronique.

Le nombre de mail de type phishing a augmenté dans des proportions exponentielle entre septembre 2003 où l'on observait seulement 279 cas, et janvier 2004 où 337.050 cas ont été observé, avec une légère baisse en mars à 215 643 mails interceptés.

La tendance est alarmante dans la mesure où les victimes  voient des prélèvements souvent importants sur leur compte bancaire s'opérer.

Comment fonctionne le phishing ?
Des pirates collectent au hasard des millions d'adresses emails d'internautes à qui ils envoient un courrier électronique en se faisant passer pour des organismes financiers reconnus tels Bank of America, des organismes de crédit ayant pignon sur rue ou des systèmes de paiement sécurisés comme Paypal aux Etats-Unis. L'adresse de l'expéditeur est maquillée pour inspirer confiance. Le message indique la plupart du temps que le compte du destinataire a été fermé pour des raisons de sécurité et que, pour le réactiver, il est nécessaire de se reconnecter en indiquant nom d'utilisateur, mot de passe, numéro de sécurité sociale, adresse postale et informations personnelles. L'internaute se connecte sur un site qui ressemble à s'y méprendre au site officiel de l'institution financière censée avoir envoyé le courrier. En réalité, il s'agit d'un site contrôlé par les pirates, qui n'ont plus qu'à se connecter au véritable site de la banque visée et à procéder à de discrets virements des comptes de leurs victimes vers leurs propres comptes. 

Un danger chiffrable aux portes de l'Europe
Cette pratique est autant dommageable pour les organismes financiers dont l'image est attaquée, qui doivent gérer des plaintes de leur utilisateurs, qui voient leur call centers surchargés d'appels de clients très inquiets.
Les préjudices liés au phishing seraient évalués à 73 milliards de dollars aux Etats-Unis pour l'année 2004 et à 180 milliards d'euros pour le monde entier.
"D'une façon générale, si le phishing continue à se développer, c'est la confiance dans l'ecommerce qui peut être atteinte", commente Raphaël Richard, fondateur de CVFM, "Il ne s'agit donc pas un phénomène marginal".

Aux Etats-Unis, les principales cibles sont les leaders du marché tel que Citibank, eBay (vente aux enchères, en particulier), PayPal (virements entre particuliers), Wachovia (services financiers), Visa (cartes de crédit) et Bank of America. Au Royaume-Uni, ce sont des banques tels que  Barclays, NatWest ou Lloyds TSB qui sont principalement attaquées. En Suisse, la première attaque qui a eu lieu visait les clients d'une banque cantonale.

D'après nos prévisions, ce sont les 10 réseaux banques leaders en France qui devraient être touchés en premier lieu, ainsi que les organismes de crédit. 

L'agence de webmarketing CVFM, auteur de l'étude, met actuellement au point des stratégies de contre attaques contre ces nouvelles formes de piraterie et organise des séminaires de sensibilisation au sein des organismes bancaires .