Le géant de l'informatique Microsoft et le site de paiement en ligne Paypal ont lancé mercredi, avec la société de sécurité informatique Cert, un site internet pour lutter contre la fraude aux informations personnelles ou "phishing" dans les pays francophones.
Cette initiative consiste à inciter les internautes, sollicités par des cybercriminels présumés, à signaler toute approche en communiquant l'adresse du faux site sur leur plateforme www.phishing-initiative.com. Le site suspect fera alors l'objet d'un blocage dans certains navigateurs tel Internet Explorer de Microsoft, et d'une fermeture le cas échéant.
« Le processus de validation et de blocage ne prend que quelques minutes, et la fermeture quelques heures », a assuré le directeur du Cert Thomas Gayet. « Il faudra moins d'une heure pour identifier les nouveaux sites de phishing et les signaler aux internautes sur Internet Explorer, au lieu de 48h précédemment », a renchéri Bernard Ourghanlian, directeur technique et Sécurité chez Microsoft France.
Un millier de tentatives chaque mois
Les tentatives de « physhing », filoutage en français, se sont multipliées l'année dernière en France. Les trois groupes disent avoir recensé en moyenne un millier de tentatives par mois visant les banques françaises. Combinaison des termes anglais « fishing » (pêche) et « phreaking » (piratage de lignes téléphoniques), le « phishing » est une escroquerie consistant à usurper l'identité d'une administration ou d'un établissement financier pour soutirer à des internautes des renseignements personnels tels mot de passe, numéro de carte de crédit, date de naissance...
Traditionnellement, les auteurs envoient un courriel frauduleux invitant le destinataire de l'adresse électronique à se connecter sur une page internet falsifiée. Sur cette page, l'internaute est invité à saisir des données personnelles, y compris le numéro de sa carte bancaire, sa date d'expiration et son cryptogramme. La Banque de France, par exemple, en a été victime en 2005, 2008 et en décembre dernier, de même que la Caisse d'allocations familiales (CAF).
Le « phishing » est difficile à sanctionner parce que ses auteurs sont généralement domiciliés dans des pays lointains, aux régimes juridiques très protecteurs. En France, le projet de loi sur la sécurité intérieure (Loppsi 2) a créé un délit d'usurpation d'identité, notamment sur internet, puni de deux ans de prison et de 20.000 euros d'amende. Environ les deux tiers des utilisateurs d'internet dans le monde ont déjà été victimes de la cybercriminalité, et peu d'entre eux pensent que les escrocs peuvent être retrouvés et punis, selon la société de sécurité informatique américaine Symantec.
