PAPEETE, le 26 juillet 2017- Si aucun chiffre officiel n'existe concernant le phishing en Polynésie, le Club de la sécurité de l'information régionale en Polynésie, ainsi que les professionnels remarquent une recrudescence de ces tentatives d'arnaques.
"Ne fais pas confiance aux inconnus" cette phrase qu'on a entendu enfant et que l'on a répété à nos propres enfants s'applique aussi pour le net. La règle vaut pour les mails.
En effet, depuis un an, le Clusir et les entreprises ont constaté que le nombre de tentatives d'hameçonnage est en forte augmentation. " Ce n'est pas isolé à Tahiti, c'est une tendance mondiale, mais c'est vrai qu'il y a de plus en plus de tentatives d'arnaques par le web", explique-t-on à la banque de Polynésie.
Vous avez probablement déjà été confronté à une tentative de phishing. Des mails se faisant passer pour des sociétés de banques, compagnie téléphonique vous demandent de reconfirmer vos informations confidentielles. La méthode préférée de ces arnaqueurs ? Se faire passer pour de grosses sociétés et pousser les victimes à transmettre leurs données confidentielles. "La plupart du temps ces mails vont essayer de faire cliquer l'utilisateur pour l'envoyer sur un site qui est une copie du site de l'entreprise. En ce moment, il y a une vague de phishing pour les factures de vini? Quand on clique le lien qui est à l'intérieur du mail, on va se retrouver sur un site qui ressemble comme deux gouttes d'eau à l'original. Tout ce qui est icônes et les informations que peut fournir le site ne sont pas actifs. Ensuite, ce qui est très important c'est que sur la barre de navigation, il faut regarder qu'il y a bien un petit cadenas vert. S'il n'y est pas, c'est un faux site."
Pour éviter de se faire avoir, il suffit de faire preuve de bon sens. Si vous n'attendez pas de colis, n'ouvrez pas les mails qui viennent de quelconque entreprise postale. Si vous êtes dans une banque, les mails provenant d'autres banques ne vous intéressent pas, non plus. Si le mail est truffé de faute d'orthographe, c'est probablement un faux, tout comme s'il n'est pas sécurisé, ou que l'adresse mail ou la qualité du site vous semble ne serait-ce que légèrement différent. Dans ce cas-là, plutôt que de prendre un risque décrochez le téléphone pour vérifier l'information. Par exemple, le logo de la Banque de Polynésie qui a été utilisé dans une vaste arnaque sur internet. Les Nouvelles Calédoniennes avaient révélé la semaine dernière que le logo de la filiale Polynésienne de la Société Générale est utilisé par des malfrats pour arnaquer les usagers néo-calédoniens.
Le responsable informatique de la banque de Polynésie, ainsi que le responsable sécurité des systèmes d'informations (RSSI),invitent les utilisateurs à faire attentions à ce genre de détails, par ailleurs ils confirment : "Les banques ne vont jamais demander le numéro de carte et sa clef de sécurité, les identifiants et codes secrets, date de validité et encore moins dans un mail. Ces informations nous les avons, personne chez nous vous les demandera, même pas le directeur d'agence. Ces informations sont confidentielles, seul vous devez les connaître."
Ainsi, les banques et la plupart des grandes entreprises ont deux systèmes de fonctionnement pour répondre à ces attaques à l'encontre de leurs clients. Elles mènent des campagnes d'informations et de communication. "Nous avons des messages d'alertes sur nos pages officielles et faisons passer des communiqués de presse pour expliquer à nos clients comment éviter de se faire avoir. Ensuite l'information des mails frauduleux remonte jusqu'au CERT (computer emergency response team) qui prend les mesures nécessaires pour faire fermer le ou les sites pirates."
"Ne fais pas confiance aux inconnus" cette phrase qu'on a entendu enfant et que l'on a répété à nos propres enfants s'applique aussi pour le net. La règle vaut pour les mails.
En effet, depuis un an, le Clusir et les entreprises ont constaté que le nombre de tentatives d'hameçonnage est en forte augmentation. " Ce n'est pas isolé à Tahiti, c'est une tendance mondiale, mais c'est vrai qu'il y a de plus en plus de tentatives d'arnaques par le web", explique-t-on à la banque de Polynésie.
Vous avez probablement déjà été confronté à une tentative de phishing. Des mails se faisant passer pour des sociétés de banques, compagnie téléphonique vous demandent de reconfirmer vos informations confidentielles. La méthode préférée de ces arnaqueurs ? Se faire passer pour de grosses sociétés et pousser les victimes à transmettre leurs données confidentielles. "La plupart du temps ces mails vont essayer de faire cliquer l'utilisateur pour l'envoyer sur un site qui est une copie du site de l'entreprise. En ce moment, il y a une vague de phishing pour les factures de vini? Quand on clique le lien qui est à l'intérieur du mail, on va se retrouver sur un site qui ressemble comme deux gouttes d'eau à l'original. Tout ce qui est icônes et les informations que peut fournir le site ne sont pas actifs. Ensuite, ce qui est très important c'est que sur la barre de navigation, il faut regarder qu'il y a bien un petit cadenas vert. S'il n'y est pas, c'est un faux site."
Pour éviter de se faire avoir, il suffit de faire preuve de bon sens. Si vous n'attendez pas de colis, n'ouvrez pas les mails qui viennent de quelconque entreprise postale. Si vous êtes dans une banque, les mails provenant d'autres banques ne vous intéressent pas, non plus. Si le mail est truffé de faute d'orthographe, c'est probablement un faux, tout comme s'il n'est pas sécurisé, ou que l'adresse mail ou la qualité du site vous semble ne serait-ce que légèrement différent. Dans ce cas-là, plutôt que de prendre un risque décrochez le téléphone pour vérifier l'information. Par exemple, le logo de la Banque de Polynésie qui a été utilisé dans une vaste arnaque sur internet. Les Nouvelles Calédoniennes avaient révélé la semaine dernière que le logo de la filiale Polynésienne de la Société Générale est utilisé par des malfrats pour arnaquer les usagers néo-calédoniens.
Le responsable informatique de la banque de Polynésie, ainsi que le responsable sécurité des systèmes d'informations (RSSI),invitent les utilisateurs à faire attentions à ce genre de détails, par ailleurs ils confirment : "Les banques ne vont jamais demander le numéro de carte et sa clef de sécurité, les identifiants et codes secrets, date de validité et encore moins dans un mail. Ces informations nous les avons, personne chez nous vous les demandera, même pas le directeur d'agence. Ces informations sont confidentielles, seul vous devez les connaître."
Ainsi, les banques et la plupart des grandes entreprises ont deux systèmes de fonctionnement pour répondre à ces attaques à l'encontre de leurs clients. Elles mènent des campagnes d'informations et de communication. "Nous avons des messages d'alertes sur nos pages officielles et faisons passer des communiqués de presse pour expliquer à nos clients comment éviter de se faire avoir. Ensuite l'information des mails frauduleux remonte jusqu'au CERT (computer emergency response team) qui prend les mesures nécessaires pour faire fermer le ou les sites pirates."
Définition : Qu'est-ce que le phishing ou l'hameçonnage ?
Le phishing (hameçonnage ou filoutage) est une technique par laquelle des personnes malveillantes se font passer pour de grandes sociétés ou des organismes financiers qui vous sont familiers en envoyant des mails frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.
Le Phishing selon le Club de la Sécurité de l'Information Région Tahiti –interview de Fabrice Leunens, vice-président du CLUSIR
Est-ce qu'il y a un recensement du nombre de tentatives d'hameçonnage en Polynésie ?
Non, il n'existe rien du tout. Il n'y a rien qui centralise et qui permette d'avoir une idée globale du nombre de phishing en Polynésie. L'hameçonnage passe par des E-mails et en fait il faudrait que ces mails soient filtrés pour pouvoir les comptabiliser.
Que peuvent faire les entreprises pour éviter le phishing ?
Les entreprises peuvent surtout faire de la prévention et de l'information de la part des utilisateurs. C'est le plus important. Il faut bien expliquer aux utilisateurs que lorsqu'ils reçoivent un mail, surtout quand ce sont des mails concernant des factures, une banque ou quelque chose en rapport avec un domaine financier d'être toujours vigilant. Une banque enverra rarement un mail directement à ses leur demandant des informations. Elle ne fera jamais un envoi de mail demandant des informations confidentielles du type codes d'accès mot de passe ...
Les entreprises ne peuvent rien faire pour contrer quelqu'un qui voudrait se faire passer pour elles?
Non ce n'est pas possible. La plupart du temps, les mails sont envoyés hors de Polynésie par des escrocs qui essaient de trouver quelqu'un qui fournira, leur transmettra les informations demandées. L'objectif est de se faire passer pour l'entreprise. La société victime de cette pratique ne peut rien faire pour le contrer parce que part de l'étranger et elle n'a aucun moyen d'arrêter un mail qui a été envoyé à quelqu'un.
Les tentatives de phishing viennent de la Polynésie ou de l'international ?
Les deux. C'est surtout à l'international, mais quand on voit certain type de phishing qui correspond réellement à des documents qui sont utilisés localement on peut penser qu'il y a une origine de Polynésie à la base. Les envois de mails ne sont jamais fait depuis la Polynésie. Ce serait trop facile de remonter à la source.
Non, il n'existe rien du tout. Il n'y a rien qui centralise et qui permette d'avoir une idée globale du nombre de phishing en Polynésie. L'hameçonnage passe par des E-mails et en fait il faudrait que ces mails soient filtrés pour pouvoir les comptabiliser.
Que peuvent faire les entreprises pour éviter le phishing ?
Les entreprises peuvent surtout faire de la prévention et de l'information de la part des utilisateurs. C'est le plus important. Il faut bien expliquer aux utilisateurs que lorsqu'ils reçoivent un mail, surtout quand ce sont des mails concernant des factures, une banque ou quelque chose en rapport avec un domaine financier d'être toujours vigilant. Une banque enverra rarement un mail directement à ses leur demandant des informations. Elle ne fera jamais un envoi de mail demandant des informations confidentielles du type codes d'accès mot de passe ...
Les entreprises ne peuvent rien faire pour contrer quelqu'un qui voudrait se faire passer pour elles?
Non ce n'est pas possible. La plupart du temps, les mails sont envoyés hors de Polynésie par des escrocs qui essaient de trouver quelqu'un qui fournira, leur transmettra les informations demandées. L'objectif est de se faire passer pour l'entreprise. La société victime de cette pratique ne peut rien faire pour le contrer parce que part de l'étranger et elle n'a aucun moyen d'arrêter un mail qui a été envoyé à quelqu'un.
Les tentatives de phishing viennent de la Polynésie ou de l'international ?
Les deux. C'est surtout à l'international, mais quand on voit certain type de phishing qui correspond réellement à des documents qui sont utilisés localement on peut penser qu'il y a une origine de Polynésie à la base. Les envois de mails ne sont jamais fait depuis la Polynésie. Ce serait trop facile de remonter à la source.