Phish and cheap (trad : hameçonnage et malebouffe)

Actualités - Fuite d'information - Posté on 02 Déc 2008 at 11:18 par cnis-mag

Encore une découverte faite par l´équipe des laboratoires Trend Micro : un email de phishing visant les consommateurs des restaurants McDonald et leur faisant miroiter une prime de 75 $ à toute personne répondant à une enquête de consommation. Bien sûr, pour faciliter le versement de cette prime, il était nécessaire de fournir nom, prénom, numéro de carte de crédit, date d´expiration et code pin. « Do it Ronnie Way » disait le slogan de « Mc Do » dans les années 80. Un moto détourné et repris en cœur par les opposants américains à Ronald Reagan, élu Président à cette même époque… et qui pourrait également se faire recycler par les auteurs de malwares.

Les laboratoires CNIS-Mag, généralement plus prospectifs que ceux de Trend, craignent cependant une localisation de ce genre d´attaques. Certains bruits, récoltés sur les canaux IRC du Bas-Larzac et du Black-Périgord, laisseraient entendre qu´il se prépare une campagne de phishing visant spécifiquement une clientèle Française. Sous l´intitulé « Enquête de Satisfaction Gastronomique », l´on aurait vu des brouillons d´email débutant ainsi :

Lucas-Carton offre 150 Euros et une entrée au choix à toutes les personnes acceptant de répondre à cette enquête rapide…

Plusieurs variantes, usurpant indignement les noms de Ferdinand Point, Marc Veyrat, Fifi Moulin ou Michel Troisgros devraient suivre cette honteuse campagne de vol d´identité. Campagne qui risque hélas de s´avérer fructueuse car, outre la légère différence de qualité qui distingue ces restaurants des établissements de Monsieur Ronald McDonald, le montant des comptes en banque des victimes potentielles serait lui aussi légèrement plus confortable que celui des amateurs de viande hachée trop cuite.

Que d´efforts de développement, que de trésors d´ingéniosité pour récupérer une identité bancaire, un code d´accès, une crédence magique. Au Container Store, on a trouvé bien mieux et bien moins cher : le « Password Directory », un carnet à spirales spécialement étudié pour y noter tous les mots de passe nécessaires, tous les codes PIN indispensables. Un cadeau de fin d´année que chaque hacker ne manquera pas d´offrir à son administrateur préféré. Ironie mise à part, il est à remarquer qu´un lot de mots de passe écrits sur un support papier est plus difficile à pirater à distance et via TCP/IP que cette même information stockée sur un disque dur. Reste qu´il n´est pas impossible à un valeureux voleur d´identité d´ajouter à ses talents celui de pickpocket. Ceci est l´occasion pour rappeler l´existence d´un excellent utilitaire originellement conçu par Bruce Schneier et, depuis, distribué au format Open Source : PasswordSafe. Ce programme, chargeable sur une simple clef USB, existe soit en code Wintel, soit en Java, et donc totalement indépendant de la plateforme utilisée. Bien sûr, l´accès au coffre à mots de passe est lui-même protégé par un sésame « maître » qu´il est conseillé de ne jamais oublier.

Laisser une réponse