Outil d'anti-hameçonnage, mon oeil !

illustration2006090401.jpg Dimanche, aux aurores, des escrocs m’ont fait parvenir un courriel d’hameçonnage (prise d’écran, ci-après), grâce auquel ils voulaient que je leur donne ma date de naissance, mon adresse de courriel et mon numéro d’assurance sociale. Pour ce faire, ils avaient forgé une page officielle de Desjardins où ils m’informaient qu’à défaut de leur confirmer mon identité, mon compte AccèsD (le service en ligne de Desjardins pour les particuliers) serait fermé. N’ayant pas de compte AccèsD, j’ai immédiatement subodoré qu’il s’agissait d’une crosse, me suis livré à quelques vérifications et en ai profité pour vous préparer ce papier. Pour bien voir et comprendre le détail de mon récit, cliquez sur les vignettes ci-après; sauf pour une exception elles vont se déployer en 700 pixels.


illustration2006090404v.jpg Même si j’avais disposé d’un tel compte, je ne serais pas tombé dans un piège aussi gros. Tout d’abord, l’adresse de provenance, suspension@accesd.desjardins.com, était suspecte (cliquez sur la vignette ici à droite). En tapant http://www.accesd.desjardins.com dans mon fureteur, j’ai eu la confirmation qu’un tel domaine n’existait pas. Ensuite, en cliquant sur le bouton Je veux confirmer mon identite (sic), on arrivait sur une page dont l’adresse commençait par http (vignette, ci-après, à gauche), au lieu de https (vignette ci-après, au centre), et n’affichait qu’une désignation IP, soit http://202.67.216.105/fr, ce qui est impensable en milieu bancaire.

illustration2006090402v.jpg illustration2006090408v.jpg illustration2006090415v.jpg Cette page se voulait une vraie page d’accueil où on devait taper son numéro de carte et son mot de passe. Sauf que n’importe quoi pouvait faire l’affaire; quoi que l’on tapait, on aboutissait à la page suivante où il ne nous restait plus qu’à envoyer nos infos personnelles (voir prise d’écran à la droite du paragraphe suivant). Dans la vraie vie d’un vrai site transactionnel géré par une vraie institution financière, quand on commet une erreur dans la saisie de son numéro de carte ou de son mot de passe, on ne peut aller plus loin (prise d’écran, ci-haut, à droite).

illustration2006090414v.jpg Par ailleurs, le titre de ce courriel, titre en grosses lettres vertes, n’était pas français et plein de fautes, une erreur que Desjardins n’aurait jamais commise au grand jamais. Au lieu de Attention « Votre compte sera expire! », l’institution bancaire aurait peut-être écrit quelque chose comme Attention, votre compte est sur le point d’être fermé advenant qu’elle utilise ce moyen discutable pour signifier à son sociétaire une telle déconvenue. Normalement, une telle communication se serait plutôt faite par appel téléphonique confidentiel. Quant au reste du texte (à l’exception de la partie inférieure), il semblait avoir été généré par un PC privé de ressources linguistiques françaises, aucun accent n’apparaissant. Enfin, la partie inférieure était un copié-collé évident de Desjardins, incluant les numéros de téléphones qui étaient exacts, ce qui ne pouvait contribuer qu’à mystifier les gens davantage.

illustration2006082801v.jpgJ’ai immédiatement utilisé le numéro sans frais pour signaler cette tentative d’hameçonnage aux gens d’AccèsD où une préposée m’a demandé de transmettre le courriel frauduleux à hameconnage@desjardins.com. La dame m’a en outre fait comprendre qu’elle en connaissait l’existence, beaucoup de rapports étant parvenus à Desjardins à ce sujet. Il ne fallait pas m’en dire davantage pour que, illico, j’aille vérifier l’outil anti-hameçonnage d’Internet Explorer 7, un outil qu’aime bien publiciser Microsoft. La tentative de fraude étant connue, je voulais voir comment se comporterait IE7 ! Hé-hé !

illustration2006090403v.jpg illustration2006090411v.jpg illustration2006090412v.jpg

illustration2006090409v.jpg illustration2006090413v.jpg Comme vous pouvez le vérifier en consultant les cinq vignettes associées à ce paragraphe, je lui ai dès lors demandé de m’ouvrir la page http://202.67.216.105/fr, ce qu’il a fait … sans hésitation. Comme je savais qu’il s’agissait d’une pogne, je suis allé au menu Tools / Phishing Filter où j’ai choisi l’option Report This Website. J’ai dû bizouner quelques instant dans un mini formulaire, puis Microsoft m’a remercié. O bonheur ! Je contribuais à dénoncer des malfrats dans un grand tout mondial chapeauté par un méga serveur de Microsoft ! Sauf que cela n’a rien changé. J’ai pu continuer à visiter ladite page sans jamais recevoir d’avertissement, cela, cinq minutes, une heure ou cinq heures plus tard. Même que ce matin, le site frauduleux était fermé et Microsoft ne m’avait toujours pas averti du danger encouru. Wow !

illustration2006090405v.jpg Bref, hier, toute la journée, j’ai pu utiliser un formulaire mis en ligne par des escrocs pour leur fournir de l’info fantaisiste, par exemple que j’étais né en juin 2006, que mon adresse de courriel était couche@picicaca.com et que mon NAS était 123 456 789. À chaque fois, on m’a retourné chez Desjardins, le vrai site, comme si mon problème avait été réglé. Jamais IE7 ne m’a averti de quelque danger que ces soit. Pire, quand je demandais à IE7 (menu Tools / Phishing Filter / Check This Website) de vérifier si le site en question était honnête, il me signifiait que oui !

illustration2006090406v.jpg illustration2006090407v.jpg Ce matin, avant de vous écrire ce texte, j’ai retapé http://202.67.216.105/fr dans IE7 (ignette la plus à gauche) où je n’ai eu droit qu’à une erreur 404, indiquant (tel que précisé au paragraphe précédent) que le site en question n’était plus accessible. Mais en faisant la même chose dans Firefox (vignette ci-contre), le système de protection anti-hameçonnage de Google est entré en fonction et m’a fermement indiqué que je m’apprêtais à visiter un site probablement frauduleux. Je venais ainsi de découvrir l’outil de de navigation sécurisée intégrée à la barre d’outils Google, auparavant une extension autonome. Si j’ai bien compris, il s‘agit d’une fonction qui n’existe que pour Firefox. Les deux autres versions de la barre d’outils Google offertes sont spécifiques à IE et n’offrent pas la navigation sécurisée.

Amusant ! Microsoft publicise le fait qu’IE7 nous protège contre le hameçonnage et ne semble pas être en mesure de le faire. Par contre Firefox n’en parle pas, mais le fait via Google. Est-ce là un prétexte à me livrer séance tenante à du Microsoft Bashing ? Non. Comme je vous l’ai dit la semaine dernière en vous présentant IE7, la fonction anti-hameçonnage en est à ses débuts dans un produit qui n’est pas vraiment en version définitive. On peut dont espérer qu’au moment d’être finalement lancé pour de bon, IE7 saura vivre à la hauteur de ses prétentions.

Amen !


Publicités

17 réflexions sur “Outil d'anti-hameçonnage, mon oeil !

  1. merci de nous avoir demontrer la facilité de des escrocs, j’ai heureusement jamais recu ce genre de trucs de desjardins ou de n’importe quel banque , je detruit de toute façon ce qui m’arrive et que je connais pas par contre pour ebay etc j’en recois tres regulierement et ca va dans les spams.

  2. Un Google anti-hameçonnage via Firefox et Windows, c’est bien. Pour les utilisateurs Windows sous PC. Mais existe-t-il un outil équivalent pour les utilisateurs Mac avec Safari et/ou Camino, mis à part les qqs préférences de Mail, le courrielleur de Apple ?

  3. Ce n’est pas nouveau pour moi de recevoir de courriel frauduleux de Desjardins. Je suis un ulisateur d’AccèsD. J’en ai reçu à la tonne depuis un an, a une adresse courriel avec lequel je ne transige pas avec Desjardins. Encore là, où les faudeurs ont pigés mon adresse ? De plus, les courriels officiels de Desjardins ne contiennent aucun hyperlien. Avec Firefox, qu’en j’entre dans le site de AccèsD, le site devient sécurisé et l’affichage en jaune dans la zone d’adresse. Je vérifie toujours bien le nom du site où j’accède quand je fais des transactions bancaire.
    Pout ton information Nelson, j’ai rapporté très souvent les courriels frauduleux à Desjardins. Au travail, quand je les recevait, ils arrivaient en lots de deux à trois dans la même minutes. j’en réexpédiais avec la façon dont Desjardins demande. Je devais regarder le contenu caché, où l’adresse du lien, et le copier dans le courriel à « Hameconnage ».

  4. Tout ce travail, prises d’écran, documentation, écriture sérieuse, etc. pour nous expliquer que l’anti-phising de Microsodt ne vaut pas de la m… Tu serais arrivé aux même résultats en deux lignes, Nelson. On le sait tous que tout ce qui marche là-dedans, ce sont les gogos qui vont croire que c’est un produit sérieux.

  5. Autre sujet, par rapport à Firefox suite à une chronique d’il y a a plus deux semaines au sujet des « espiongiciel ». J’avais lu le commentaire de quelqu’un d’utiliser « NoScript ». Depuis deux semaines, je l’utilise. C’est vrai que ça bloque tout. On doit confirmer tous les sites. Comme sur ton site par exemple, j’ai deux liens avec lequel je doute de les ouvrir:
    Autoriser 2mdn.net
    Autoriser doubleclick.net

    Mais qu’arrive-t-il de Microsoft Hotmail, faut-il leur faire confiance ?
    Autoriser atdmt.com
    Autoriser d-pub.com

    J’ai fait une recherche sur google pour « atdmt », et plein de mention Spyware ou problème pour l’enlever.

    Y a-t-il une façon de bloquer officiellement des liens et que NoScript ne les demande plus (la petite fenêtre jaune dans le bas).

    Merci

  6. Tout cela est basé sur le constat que bien des gens, des gens foncièrement bons et peu méfiant, obéissent aveuglement (ou presque) aux ordres ou demandes qui leur semblent sérieux. Ce sont des requêtes qui proviennent de leur institution bancaire, de leur belle-soeur qui insiste pour que la chaîne de lettres ne soit pas cassée, etc.

  7. Eh oui, les gens sont tellement peu méfiants qu’ils seraient même prêt à nous donner leur mot de passe, leur nip, etc si nous sommes un tant soit peu convaincant.
    Leur dire que je suis Monsieur X de la banque Y semble suffire à bien des gens.. S’il faut qu’en plus le courriel nous envoie à un site ressemblant à celui de la banque, bingo …

  8. Peux importe si vous etes un site securiser ou pas, si vous avez des doutes entrer de la fausse information si le systeme vous laisse entrer vous avez a faire avec un site de con!

    Ca marche a tous coup!

  9. Un truc amusant, pour ceux qui peuvent le faire…
    Flooder les sites malfaisants!
    Ouvrir le code, trouver la page de traitement et ecrire un petit script qui flood avec des donnees aleatoires les champs demandés.
    des centaine d’entrées à la minute peuvent etre facilement ajoutés à la BD des « phisheurs »… donc en faisant tourner 1 nuit on ajoute des centaines de milliers de fausses données…
    ce qui obligera les malfaisants à trouver l’aiguille dans la botte de foin.
    Énergie demandé -> faible
    Résultat -> Amour propre conservé…

  10. Attention M. Asselin:Intéressante votre idée, mais, quelque part, elle me fait penser à ce père qui casse soigneusement la gueule d’un pervers ayant agressé sexuellement son enfant. Devinez lequel des deux adultes fera le plus de temps en prison ? Si ce que vous suggérez est faisable et éminemment souhaitable, cela n’en constitue pas moins un geste tout-à-fait illégal et, donc, répréhensible. (voilà, j’ai fait ma job…)

  11. http://www.generation-nt.com/actualites/18398/internet-explorer-7-filtre-anti-phishing/

    «La technologie anti-phishing de Microsoft va bientôt être améliorée grâce à la firme Digital Resolve. (…) Le partenariat entre le géant des logiciels et Digital Resolve marque la première licence du groupe qui se targue d’un taux de réussite de 100% pour les sites référencés dans sa base de données.»

    Bref, on verra. Je reste quand même sous Firefox.

  12. Bonjour, justement, j’ai reçu une fraude par e-mail cette semaine de la « Féderation des caisses Desjardins du Quebec » comme de quoi qu’une erreur de transaction s’est glissé dans mon compte. Alors, j’ai immédiatement contacté une caissière d’une caisse Dresjardins près de chez moi pour en avoir le coeur net. La caissière m’a tout de suite avisé de ne pas répondre à aucun courriel venant de Desjardins. Si Desjardins a à nous contacter ou à nous aviser de quoi que ce soit, ils le feront seulement par téléphone ou par courrier et non par courriel. Alors, soyez prudent et supprimez tous les e-mails que vous recevrez par courrier électronique!

    Je vous montre mon courrier que j’ai reçu, voilà un exemple à faire attention:

    Cher(e) membre Desjardins/ AccèsD

    Le département de vérification comptable du Groupe Desjardins a détecté un problème de transaction dans votre compte. Un montant a été déposé et retiré par notre système comptable. Nous vous avisons de cette erreur afin que vous ne soyez pas surpris quand vous verrez ces transactions sur votre relevé transactionnel. Nous avons repris le montant total sans appliquer les frais de transactions. Ne divulguez jamais vos renseignements personnels sur un site autre que le site sécurisé Desjardins. Si vous constatez une autre erreur, communiquez avec votre institution durant les heures de votre caisse.

    Pour accéder à votre compte et vérifier que tout soit normal, cliquez sur ce lien sécurisé si dessus :

    (ici je ne donnerai pas l’adresse pour des raisons de sécurité)

    Soyez assuré que Desjardins met tout en oeuvre pour protéger les utilisateurs de ses services Internet

    Le Groupe Desjardins vous remercie de votre clientèle et apprécie votre compréhension.

    Desjardins / AccèsD
    Conjuguer avoirs et êtres

  13. J’ai oublié de mentionner qu’il ne faut jamais envoyer notre numéro d’assurance sociale, notre numéro de carte de guichet et de crédit et nos mots de passe.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s