Dans un lac ou sur le Web, il ne faut pas mordre à l’hameçon.
Je dois vous faire un aveu. J’ai beau avoir essayé beaucoup de choses, agréables ou pas, au cours de ma vie, il y a une activité qui demeure inconnue pour moi : la pêche. Est-ce un choix volontaire ? Suis-je végétarien, environnementaliste ou fan de Brigitte Bardot ? Pas vraiment. Même que j’aime beaucoup le poisson. Mais outre le fait que je ne suis pas un grand amant de la vie au grand air et que d’aller me faire bouffer par les mouches noires au milieu d’un lac ne correspond pas à ma conception personnelle du plaisir, nous pouvons ranger ce manque dans ma culture au rayon des concours de circonstances. En définitive, pour moi, les images de pêcheurs attendant patiemment leur prise dans une chaloupe flottant au beau milieu d’un lac paisible à travers la brume matinale ne me rappellent pas grand-chose à part des commerciaux d’assurance vie ou une scène du parrain.
Mon sujet du jour porte plutôt sur une autre sorte de pêche qui a cours sur le Web depuis un certain temps. Mais je ne vous souhaite surtout pas d’y goûter un jour, car vous avez bien des chances d’y jouer le rôle du poisson. Le « phishing »1 , ou en français « hameçonnage » est une activité, malheureusement, en plein essor. Dans une opération d’hameçonnage, le fraudeur commencera par envoyer une multitude de messages électroniques en utilisant les techniques éprouvées du pourriel.2 Mais plutôt que de vendre du viagra ou des copies illicites de logiciels, les messages prétendront émaner d’une entreprise connue jouissant d’une certaine confiance comme une banque ou un site marchand important comme Ebay ou Amazon.com, histoire de mieux appâter les victimes.
Comme autant de lignes lancées à l’eau, ces milliers de courriels inviteront les destinataires à « mettre à jour » leurs informations de crédit déjà communiquées à l’entreprise de confiance. En suivant un lien présenté dans le message, les victimes seront alors dirigées vers un faux site Web qui ressemblera à s’y méprendre au site de l’entreprise en question, où on leur demandera tout bonnement leur numéro de carte de crédit, leur NIP bancaire ou encore certains mots de passe stratégiques.
Mais bien sûr…
Alors, y a-t-il tant de poissons que ça sur le Web ? Il faut croire que oui, car on estimait l’hiver dernier qu’Internet comptait environ 3000 sites du genre, dont la durée de vie moyenne est de seulement six jours. Les hameçonneurs n’ont en effet pas tellement tendance à attirer trop longtemps l’attention, et préfèrent garder les pistes bien brouillées, car beaucoup de justiciers sont à leurs trousses.
MasterCard révélait ainsi en mai dernier avoir fait fermer 1400 sites d’hameçonnage depuis le lancement, il y a un an, de son programme anti-« phishing »3. Microsoft s’est aussi mis de la partie, se lançant à la défense des millions d’usagers de son service de courriel « Hotmail ». Elle logeait donc en mars dernier plus de 100 actions civiles devant les tribunaux américains contre des pirates non identifiés. L’envoi d’un courrier électronique ou la mise en ligne d’une page Web nécessitant certaines opérations techniques qui laissent des traces chez les fournisseurs d’accès Internet, Microsoft cherche ainsi à obtenir de ces derniers qu’ils fassent le nécessaire afin de débusquer les auteurs des fraudes et les amener devant les tribunaux4.
Le droit américain en matière de marques de commerce permet en effet d’introduire une procédure contre un contrevenant inconnu afin, notamment, de le faire identifier au cours de la procédure5. Le nombre et la vigueur des interventions des principaux acteurs du commerce électronique contre ce phénomène montre bien à quel point la menace est prise au sérieux. Les principales banques canadiennes et sites marchands ont souvent annoncé qu’elles ne procèdent jamais à la mise à jour de leurs dossiers de cette façon. Alors croyez-moi, mieux vaut ne jamais répondre à un courriel non sollicité. Jetez-le donc, on ne le dira jamais assez.6
Astuce technique : rien ne sert de taper, il faut numériser à point
Alors que les délais sont très serrés, vous réalisez que vous avez perdu le fichier d’origine d’un imposant bail commercial que vous devez ajuster avant sa signature prévue pour le lendemain. Ou encore, vous apprenez à la dernière minute que la banque de votre client exige que vous utilisiez un formulaire maison disponible seulement en version papier. Vous voilà confronté à la dure réalité : votre collaboratrice ou vous-même devrez passer la nuit au clavier pour saisir ces données.
Inutile de pleurer et allez dormir en paix, car la technologie de reconnaissance optique des caractères (OCR ) peut vous sauver de la nuit blanche. J’ai moi-même été étonné de la qualité des résultats obtenus avec un logiciel fort simple, fourni gratuitement à l’achat de mon dernier numériseur. Une belle convention de près de trente pages, photocopie de deuxième génération en plus, que j’ai passée à la moulinette en quarante minutes et comptant moins d’une dizaine d’erreurs de lecture. Ajoutez environ une heure de révision, et le tour était joué !
Regarde maman ! Sans les mains !
Comment fonctionne cette magie ? Le principe est finalement assez simple. Le numériseur renvoie à l’ordinateur une image de la page numérisée. Mais plutôt que de voir la page comme une image, le logiciel OCR analysera les points qui la composent et comparera chaque caractère décodé à une grille d’analyse afin de définir la lettre qui lui correspond. Des systèmes plus sophistiqués se passent complètement d’une telle grille pour analyser plutôt la forme de chaque lettre pour la deviner. Les premiers logiciels du genre, conçus aux États-unis, étaient malheureusement plus efficaces pour digérer des textes en anglais, dépourvus d’accents et de cédilles. Mais à mon grand plaisir, j’ai constaté que ce problème semble être maintenant un souvenir, et que non seulement nos accents latins, mais même le formatage du texte (police de caractères, soulignements, italiques, etc.) survivent souvent très bien au processus. Alors pourquoi perdre son temps à taper ?
À la prochaine !
1 http://www.webopedia.com/TERM/p/phishing.html
2 Attention, certains feront parfois aussi usage de fenêtres « pop-up » qui apparaîtront au milieu de votre séance de navigation, probablement lancées par un logiciel espion.
3 MasterCard Shuts Down 1,400 Phishing Sites, InformationWeek, May 10, 2005 , http://informationweek.com/story/showArticle.jhtml?articleID=163100641
4 "Microsoft Seeks to Identify Phishing Scam Authors", Brian Krebs, washingtonpost.com, 31 mars 2005, http://www.washingtonpost.com/wp-dyn/articles/A16257-2005Mar31.html
5 Il s’agit en l’occurrence du « «Lanham (Trademark) Act, que vous trouverez ici : http://www.bitlaw.com/source/15usc/
6 Si vous voulez en savoir plus, je vous conseille de rechercher des sites traitant du vol d’identité et des façons de s’en protéger. Par exemple, sur le site Strategis, http://strategis.ic.gc.ca/epic/internet/incmc-cmc.nsf/fr/fe00084f.html