[AfrICANN-discuss] Panorama des arnaques du Web

[Anne-Rachel Inné]

Panorama des arnaques du Web

http://www.journaldunet.com/ebusiness/expert/50633/panorama-des-arnaques-du-web.shtml
Stéphane Van Gelder - publié le 22.12.2011, 19h49

Stéphane VAN GELDER,
Directeur général d'INDOM et président du GNSO (ICANN), Indom

Pirater par le biais d'Internet est devenu un vrai business. Il a ses
codes, ses tarifs, ses techniques... Et un seul but, gagner beaucoup
d’argent. Tour d'horizon et décryptage.

Un cadeau du fisc ? Pourquoi ne pas y croire en cette période de Noël
? Les escrocs du Web ont dû suivre le même raisonnement lorsque, pour
appâter des contribuables en leur promettant de les créditer d’une
somme inattendue, ils ont envoyé des mails à entête du Ministère du
Budget afin de récupérer données personnelles et numéros de carte
bancaire.
Le 5 décembre, Bercy alerte les internautes, mais le mal est fait.
Le lendemain, le Midi Libre nous apprend que les clients de
l’opérateur Orange ont été victimes d’une escroquerie similaire. Le
12, c’est au tour du Figaro de révéler que la société SCOR aurait
déjoué en septembre une tentative visant à détourner 798 000 euros au
moyen d’une simple demande de virement.
Les techniques pour réaliser ces escroqueries portent des sobriquets
exotiques. On parle de phishing ou hameçonnage. Un modus operandi
souvent utilisé dans des attaques sur les particuliers, les
entreprises, les administrations et même l’État : plus de 150
ordinateurs infiltrés en décembre 2010 au ministère de l’Économie et
des Finances, l’agression ciblant des informations relatives au G20 !

Hadopi détournée
Rien à dire, les pirates ont de la suite dans les idées. Tout
récemment, des particuliers, adeptes du streaming, ont été victimes
d’un code malveillant bloquant leur ordinateur. Une page affichant le
logo de la gendarmerie leur propose de le débloquer en réglant en
ligne une amende de 200 euros pour téléchargement illégal. Ou comment
retourner la loi Hadopi à son profit : une idée qui avait sans doute
échappé au législateur.
Mais les pirates sont toujours à l'affût du meilleur moyen de
détrousser les internautes. Selon une étude réalisée par Eurostat en
2010 dans les 27 pays de l'UE, 5 % des internautes Français, soit
environ 2 millions de personnes, auraient subi des pertes financières
consécutives à une attaque de phishing ou de pharming (type
d’hameçonnage qui permet de diriger l’internaute à son insu vers un
site maquillé et de récupérer ses informations confidentielles, mot de
passe notamment).

Un marché noir du cybercrime
Les pirates ne se contentent pas de ponctionner comptes et cartes
bancaires ; ils revendent les données récupérées : de 2 $ pour les
identifiants d’un compte sans vérification du solde, à 700 $ pour un
solde garanti de 82 000 $. Et parfois même jusqu’à 1 500 $, si le
compte a été utilisé pour des achats en ligne ou sur une plateforme de
paiement comme Paypal.
Le business a aussi ses produits et services dérivés : vente de copies
de cartes bancaires (180 $ minimum), d’appareils à dupliquer les
cartes de crédit (de 200 à 1 000 $), blanchiment d’argent et même
logistique (achat et expédition de marchandises réglées avec des
informations bancaires volées), moyennant des commissions calculées
selon les montants ou produits considérés.
Ce réseau souterrain possède ses circuits de distribution, ses pages
Facebook ou Twitter, et ses boutiques en ligne où les cyber-escrocs
proposent, par exemple, des faux anti-virus. Bizarrement ces boutiques
n’acceptent que les paiements effectués, d’avance (!), par des
services comme ceux de la Western Union.

Gare à la fraude dans les noms de domaine
La fraude passe aussi par des fausses factures de noms de domaine !
Fréquemment utilisée par les pirates, la technique connue sous le nom
de slamming consiste à envoyer aux titulaires de noms de domaine une
facture de renouvellement avant l’échéance prévue.
Les clients peu coutumiers des procédures habituelles paient de bonne
foi, sans se douter qu’ils signent alors le transfert du nom de
domaine à un parfait inconnu… qui ne donnera généralement aucune suite
à de quelconques réclamations.
En novembre dernier, suite à des attaques de ce type, les registres du
.BE (Belgique) et du .IT (Italie) ont ainsi dû recommander la plus
grande prudence après des vagues d'attaques de ce type. Parmi les
spécialistes du genre, on trouve une société appelée Domain Registry
of America et également connue sous le nom de Domain Renewal Group.
Autres cieux, autres mœurs. En Asie, les pirates contactent les
entreprises européennes pour leur expliquer que des noms de domaine
basés sur le nom de l'entreprise, de ses marques ou de ses produits
vont être d’ici peu vendus à des tiers. Et de proposer "généreusement"
de sécuriser ces noms en les enregistrant dès maintenant. Un service
non sollicité qui prend ensuite les entreprises victimes en otage.
On trouve aussi, dans la liste des arnaques possibles, l’inscription,
soi-disant obligatoire, à un annuaire de référencement de noms de
domaine, à un prix particulièrement élevé. L'arnaque est déjà ancienne
et se pratique aussi dans le monde réel (les professions libérales en
sont souvent la cible).

Gros sous
Ces escroqueries causent à leurs victimes des dommages considérables.
Dans le cas du phishing, perte d’argent directe, suite aux ponctions
faites sur les cartes ou comptes bancaires, mais aussi perte
indirecte, notamment pour les sites de jeux en ligne dont les escrocs
revendent, contre argent comptant, les clés de licence ou les
personnages des jeux piratés.
Le slamming, quant à lui, peut provoquer la perte d'un nom de domaine
ou générer des risques de coupure ou de détournement d'un site
associé, entraînant de fait une perte de chiffre d’affaires, mais
aussi la détérioration de l’image de marque de l’entreprise et de son
e-reputation.

Se défendre
Face à ces attaques, il est possible de ne pas rester victime. Une
bonne stratégie de défense envisagée dès le départ et actualisée tous
les ans permet de réduire considérablement les risques.
Les outils existent pour ça : l’audit de sécurité des noms de domaine
stratégiques de l’entreprise qui révèle toutes les failles
potentielles la rendant vulnérable au cybersquatting et au phishing,
ou encore les surveillances de noms de domaine ou de marques qui
alertent dès qu’un cas suspect est détecté.