A l’origine de cette initiative, la société CALOGA, acteur de l’e-mail marketing voit en effet son identité usurpée régulièrement sur Internet par des pirates diffusant des campagnes de phishing en son nom, en contrefaisant les adresses expéditrices d’emails de la société. CALOGA a fait appel au Cert LEXSI pour établir un panorama précis du phishing en France et procéder à quelques recommandations.

Ce rapport est le fruit des observations et investigations systématique de plus de 1.500 sites frauduleux, impactant tous des sociétés françaises, banques, et administrations, ainsi que du croisement des données issues des interventions d’urgence du Cert-LEXSI et des témoignages d’internautes adressés à CALOGA.

7 idées reçues

– Mythe n°1 : le phishing, c’est pour les nuls

Malgré certains signaux d’alerte permettant d’identifier la nature frauduleuse du mail, on dénombre en moyenne pour chaque attaque de phishing 5 à 20 personnes qui confient leurs identifiants au pirate : un chiffre qui varie avec le niveau d’intensité et de crédibilité de l’attaque, mais qui n’est pratiquement jamais nul. Compte tenu de l’important volume d’emails frauduleux diffusés chaque jour, ce phénomène continue, années après années, à faire de nombreuses victimes.

– Mythe n°2 : c’est le particulier qui paye l’addition

La Loi françaises stipule que la banque est tenue de rembourser ses clients en cas de transaction frauduleuse. Celle-ci présente alors la facture au commerçant qui a accepté la transaction. Au final, c’est en réalité l’e-commerçant qui supporte le risque, sous la forme d’impayés.

– Mythe n°3 : les fraudeurs finissent en prison

Les fraudeurs, quasi-systématiquement situés hors des frontières de l’Union Européenne, ne sont pratiquement jamais arrêtés. Une impunité qui provient en grande partie de la difficulté de donner suite aux plaintes pour phishing. Ainsi, depuis 2005, aucun commanditaire d’une campagne de phishing ciblant la France n’a jamais été arrêté suite à la plainte de victimes françaises.

– Mythe n°4 : les mules sont des criminels aguerris

En réalité, tous les profils de mules existent : des particuliers crédules désespérément à la recherche d’un emploi et pensant avoir été embauchés par une multinationale pour un travail à domicile ; des chefs d’entreprise persuadés de faire transiter une somme d’argent à destination d’un partenaire étranger ; des individus complaisants qui se laissent prendre au jeu, en étant plus ou moins conscients de l’illégalité de leur activité ; et des véritables criminels, conscients de participer à un réseau de fraude international.

– Mythe n°5 : le phishing, ça vient de l’Est

Le Maroc, et dans une moindre mesure l’Algérie et la Tunisie, sont devenus les principales sources d’attaques de phishing ciblant les banques françaises : en 2010, les attaques en provenance de ces pays totalisaient plus de 90% des tentatives de phishing affectant la France, sur un total de près de 1.100 attaques sur les six premiers mois de l’année.

– Mythe n°6 : le phishing est l’œuvre de mafias qui gagnent des millions

Si dans certains cas, les liens avec le crime organisé sont avérés, en revanche dans la majorité des cas, les fraudeurs sont des adolescents et des jeunes adultes qui en sont à leur première expérience criminelle. Loin des mafias, structurées autour d’une hiérarchie stricte et d’un leadership central, les fraudeurs s’organisent en réseau, où convergent les intérêts financiers le temps d’une opération.

Mythe n°7 : la sensibilisation est la seule arme efficace contre le phishing
La sensibilisation reste une priorité au quotidien pour limiter les risques subis par les particuliers autant que les entreprises, mais reste malheureusement perçue, à tort, comme la seule alternative face aux difficultés que rencontrent les forces de l’ordre.

Les perspectives et préconisations

Face à un protocole SMTP vieux de 30 ans et incapable de faire face à l’ingéniosité des pirates qui usurpent l’identité de sociétés et individus réels, le Cert LEXSI et son partenaire Caloga, précurseur depuis 2006 dans la mise en œuvre de protocoles plus fiables, lancent deux propositions :

· L’adoption généralisée des protocoles SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) par les acteurs de la messagerie et opérateurs Internet.

En particulier, aujourd’hui, le protocole SPF est suffisamment mûr et peu coûteux pour rendre possible un déploiement à grande échelle. L’implémentation de SPF, côté récepteur, ne réduira pas fondamentalement le spam, mais elle marginalisera l’usurpation d’adresse e-mail et contraindra les spammeurs à utiliser leurs propres domaines configurés en SPF, dès lors plus simples à filtrer sur la base d’une liste noire DNS. Des opérateurs de messagerie de premier plan, tels que Google et Hotmail, ont déjà déployé ce protocole.

Quant à lui, DKIM représente un changement radical dans la manière d’assurer l’intégrité des e-mails ; et si sa mise en œuvre reste nettement plus complexe que SPF, ce protocole représente clairement l’avenir de la sécurité du SMTP.

L’adoption, par les fournisseurs d’accès à Internet, d’un canal privé authentifié pour les expéditeurs professionnels d’e-mails en nombre.

Cette mesure permettrait d’une part de soulager le canal SMTP habituel, et d’autre part de diminuer massivement les usurpations d’identité. L’accès à ce canal permettrait un assainissement global des pratiques d’e-mail marketing en France, en donnant la priorité aux sociétés ayant fait leurs preuves.

L’accès à un tel canal serait établi sur une base contractuelle, l’expéditeur et l’opérateur s’engageant tous deux à suivre des bonnes pratiques en matière de lutte contre le spam.