Le Cert Lexsi et Caloga se sont associés pour publier un « décalogue abrégé » du phishing , rappelant (en français dans le texte) ce qu’il faut savoir sur ce genre d’attaque et combattant un certain nombre d’idées reçues. Des idées telles que personne ne peut succomber à des pièges aussi grossiers (hélas si !), que les fraudeurs finissent leurs jours en prison (si l’on se base sur des lois telles que LCEN ou Loppsi …). Et pourtant, « Depuis 2005, aucun commanditaire d’une campagne de phishing ciblant la France n’a jamais été arrêté suite à la plainte de victimes françaises »… Les mules, prévient également l’étude, ne sont pas nécessairement des criminels aguerris. Les crédules, les victimes du chômage croissant, les troisièmes couteaux de la délinquance ordinaire : on trouve de tout dans le profil psychologique des porteurs de valises virtuelles. Quand à la provenance de l’attaque, elle n’est pas systématiquement d’origine Russe. Ce serait plutôt vers le Maroc, l’Algérie et la Tunisie qu’il faudrait rechercher avant tout les plus gros requins du phishing. Les autres « contre-vérités » énoncées par l’étude sont plus classiques. Notamment pour ce qui concerne le fait qu’il n’existe pas de véritable « empire du mal » d’une cyber-mafia collectant des sommes folles, mais plutôt des associations temporaires d’intérêts communs dans le cadre d’opérations de petite envergure. Ou que la sensibilisation de « fait pas tout » et que « le client paye toujours l’addition » puisqu’en Europe en général, ce sont les banques qui sont responsables des pertes causées par de telles exactions.
En attendant, le phishing visant la communauté francophone s’améliore de jour en jour. Les « charset » exotiques tendent à disparaître, les fautes d’orthographe ou de style sont de plus en plus rares : les « phishers » appartiennent de plus en plus à des communautés d’expression française. Il serait possible, continue l’étude Lexsi-Caloga, de limiter sensiblement les dégâts avec l’adoption généralisée des mécanismes et protocoles Dkim et SPF, dont le rôle est de garantir l’authenticité de l’adresse de chaque expéditeur d’email et d’assurer l’intégrité des courriels.
Mais si ces outils sont souvent adoptés par les grands fournisseurs de messagerie « cloudifiée » (Gmail, Hotmail…), c’est plus rarement le cas pour les messageries d’entreprise « hostées » au sein des services informatiques internes. Particulièrement pour ce qui concerne Dkim. Enfin, l’on pourrait ajouter que le phishing s’attaque essentiellement à la personne, personne qui généralement possède 3 ou 4 sources de messageries différentes, tant à titre professionnel que personnel, systèmes de messagerie qui ne sont pas tous sécurisés. Ce qui laisse encore de beaux jours et des rentes de situation confortables pour les artistes du « compte suspendu » et de la « tombola qui offre des iPhones ».
