Tout commence par un avis anodin que vous recevez sur votre messagerie électronique. Il vous conseille d’aller consulter le site de votre banque pour mettre à jour le programme d’accès à vos comptes ou pour vous demander de changer votre mot de passe comme on devrait le faire régulièrement, avant que quelqu’un de mal intentionné réussisse à le reconstituer. Nombre de clients des banques se sont déjà fait prendre car la démarche semble relever de bonnes intentions.
En fait, ce message vous est adressé par des petits malins qui sont parvenus à reconstituer une copie presque parfaite du site de certaines banques. Il s’agit en réalité de sites factices sur lesquels les clients risquent d’entrer s’ils cliquent sur les liens que les auteurs de ces messages pirates ont incorporés à leurs messages.

Tout commence par un message très anodin
Une fois connecté sur le site pirate, vous êtes rapidement dirigé à l’endroit précis où vous êtes sensé modifier votre mot de passe. Naturellement, vous êtes invité à entrer votre sésame qui est alors immédiatement subtilisé par les malfrats. Ils pourront dès lors s’attaquer au véritable site de la banque afin de dévaliser vos comptes. La méthode est relativement simple. Il suffisait d’y penser. Il faut dire que les voleurs en ont marre de devoir transporter leur matériel d’aigrefin et de se fatiguer à démolir votre porte. Ils font désormais ça en toute impunité depuis chez eux, bien au chaud.
D’autres messages sont encore plus astucieux: ils vous indiquent que vous êtes probablement victime de phishing - littéralement «aller à la pêche» avec une orthographe quelque peu modifiée - et que vous devez immédiatement changer de mot de passe. On imagine la suite, qui se déroule exactement selon le scénario indiqué précédemment.

Nul n’est à l’abri
Le phénomène du phisching est en train de s’étendre comme une traînée de poudre. La majorité des grandes banques sont visées. Cela va de la City Bank à l’UBS, en passant par toutes celles dans lesquelles les escrocs sont certains de trouver des comptes bien approvisionnés. Ainsi, plus elles sont d’importance, plus elles sont exposées.
Pour les cambrioleurs, s’il est relativement peu risqué de s’attaquer à la caisse de l’épicerie du coin, il s’avère bien plus rentable de voler un super-marché. Dès lors, pourquoi ne pas s’attaquer depuis son fauteuil à des coffres-forts bien garnis avec, en plus, bien peu de chance de se faire prendre. D’autant moins, quand il s’agit de comptes en Suisse ou dans un paradis fiscal: un client lésé n’ira sûrement pas se plaindre à la police qu’on lui a volé son argent blanchi!
En Allemagne, une étude de l’Institut de recherche Fraunhofer a mis ainsi en évidence la vulnérabilité des banques germaniques face aux arnaques des escrocs utilisant la méthode du phishing: sur douze banques permettant d’effectuer des transactions en ligne, onze présentaient de sérieuses lacunes en matière de sécurité. Seule la Deutsche Bank ne laisse aucune chance aux pirates de pouvoir puiser dans les comptes de ses clients.

Comment s’en protéger?
Certains signes sont pourtant révélateurs. Ainsi, lorsque le message est rédigé en anglais alors que vous ne conversez jamais dans cette langue avec votre banque, vous devez soupçonner une arnaque. Si vous ne possédez pas de compte dans la banque en question, aucun doute n’est permis: il s’agit bien d’une tentative de phishing. Mais, dans ce cas, vous n’aurez aucun risque d’être détroussé!
La première réaction à avoir face à un tel message consiste à s’assurer en premier lieu de sa véracité. La manière la plus simple d’opérer est de téléphoner à votre banque pour savoir si le message provient réellement d’elle. La deuxième, pour être prudent, veut que l’on modifie son mot de passe, mais en se connectant soi-même sur le site de sa banque, sans passer par le lien qu’il vous est conseillé d’utiliser dans le message incriminé. Il s’agit en fait d’une précaution que l’on devrait renouveler régulièrement, mais en évitant de tomber dans le panneau des messages de phishing. La règle d’or consiste donc à garder la maîtrise de l’action. C’est-à-dire d’entrer soi-même sur le site de sa banque.

Des escrocs toujours plus malins
Les techniques des auteurs de phishing se raffinent chaque jour davantage. Les plus rusés entrent même sur votre ordinateur pour aller modifier les favoris de votre navigateur afin que vous accédiez automatiquement sur leurs sites pirates qui ne sont que des leurres.
On ne peut donc que vous conseiller de rester extrêmement vigilant et méfiant. Dès que l’on vous suggère de procéder à une opération qui vous semble inhabituelle, ne vous y conformez pas sans avoir au préalable demandé conseil à quelqu’un d’avisé. L’on n’est jamais trop méfiant.
A l’UBS, Florent Michel, porte-parole de la banque, déclare qu’il n’a pas connaissance de cas de fraude dus au phishing. Il faut dire que même si un escroc parvenait à subtiliser le numéro de code personnel du client de cette manière, cela ne suffirait pas à accéder à ses comptes. La petite calculette fournie à chaque client génère en effet un code aléatoire supplémentaire à introduire sur la page Web de la grande banque indispensable pour obtenir l’autorisation d’effectuer des transactions. Cette calculette, nécessite d’y introduire sa carte client dotée d’une puce électronique dans laquelle sont stockées ses données personnelles. Le code est généré de manière dynamique et n’est valable que pour un laps de temps restreint. Sans compter qu’il faut encore introduire en plus le numéro du contrat comme troisième code avant d’accéder enfin à la page d’où l’on peut effectuer les transactions.

Le système est-il sûr à 100%?
L’imagination des escrocs est débordante quand il s’agit de trouver de nouvelles astuces pour dévaliser les clients des banques. Cette méthode semble pourtant efficace puisque la sécurité est triple et qu’elle nécessite trois éléments totalement séparés : la carte, la calculatrice et le document papier sur lequel est indiqué le numéro de contrat. Il faut pourtant veiller de conserver ces trois supports à l’abri des voleurs et à les ranger dans des endroits distincts.
Le même système est utilisé au Crédit Suisse où la petite calculette fournie par la banque génère également un code aléatoire renouvelé toutes les 60 secondes. A moins de trouver l’algorithme qui génère le code de six chiffres, il est donc impossible de pirater. Porte-parole du Crédit Suisse, Jean-Claude Darbelley précise encore que la banque n’a pas connaissance jusqu’ici de cas de phishing mais, par contre, que certaines personnes ont effectivement reçu des messages les enjoignant de postuler pour des emplois libres au sein du Crédit Suisse tout en les incitant à donner des informations confidentielles.l

Le phishing
Le phishing consiste à subtiliser le code d’accès des clients des banques en envoyant un e-mail au maximum de personnes possible (même à celles qui ne sont pas clientes des banques en question) les incitant à consulter un site Internet factice (leurre) dans lequel ils doivent entrer leur code. Les pirates les utilisent alors pour accéder au compte réel du client. Le fonctionnement effectif de ce nouveau type d’arnaque est expliqué dans l’article principal ci-contre.
Le phénomène du phishing est en énorme progression. De juillet à octobre 2004, le nombre de cas recensés a augmenté de 25%. Les sites de phishing sont hébergés en majorité aux Etats-Unis où ils ont tendance à régresser à cause des mesures de protection prises par les banques et la police, ainsi que par la plus grande suspicion des clients. Des sites de ce type apparaissent par contre dans d’autres pays tels que la Chine (16%), la Corée (9%) et la Russie (8%).