Pour commencer, rien ne vaut un exemple très démonstratif. Nous nous croyons tous assez malins pour éviter les pièges, mais il est extrêmement simple de tomber dans le panneau, surtout si nous sommes en confiance.

L’erreur de Neuf Cegetel

Neuf Cegetel propose à ses clients un espace pour gérer leur compte. Ce service est accessible à l’adresse espaceclient.neuf.fr, indiquée au dos des factures.

Jusque-là, rien de plus classique. Sauf que sur certaines factures, l’adresse indiquée comporte une erreur : à la place de espaceclient.neuf.fr, on lit espaceclientneuf.fr. Subtile différence que des petits malins ont exploitée !

L’exploitation de la faille

Le client qui entre l’adresse indiquée sur la facture, se sent parfaitement en confiance. Pourtant, le site qu’il voit n’appartient pas à Neuf Cegetel.

Le vrai site.

Le faux site.

Vous allez me dire que les deux sites ne se ressemblent pas vraiment et qu’il est difficile de se laisser tromper. Oui, pour les clients qui utilisent souvent ce service, c’est évident. Mais combien d’autres ne vont le consulter qu’en cas de problème ? Pour ceux-là, impossible de repérer l’arnaque au premier coup d’oeil ! D’autant que les libellés de certains liens sont en parfaite adéquation : Mon compte, Ma facture, Service client, Assistance…

Après avoir cliqué sur deux ou trois liens, l’utilisateur se rendra vite compte qu’il y a anguille sous roche et passera par le site officiel de Neuf Cegetel pour retrouver l’Espace client.

Ce petit jeu de cache-cache aurait pu être tout autre. Imaginez un faux site parfaitement identique au vrai. Vous souhaitez consulter votre facture, vous entrez votre identifiant et votre mot de passe… Scénario catastrophe !

Un détournement (presque) légal

Cependant, cet exemple n’est pas un cas de phishing. Ici, tout est légal (si ce n’est l’abus de confiance que Neuf Cegetel pourrait porter devant les tribunaux). N’importe qui peut déposer et exploiter le domaine espaceclientneuf.fr. Et donc profiter des erreurs de frappe.

Mais où est le profit ? Simplement dans les revenus tirés des liens sponsorisés, placés dans les pages du faux site. Avec quelques millions de clients Neuf Cegetel, les revenus peuvent s’avérer très juteux… sans rien faire d’autre qu’acheter un domaine.

Nous entrons dans l’univers très fructueux des domainers qui sera le sujet de mon prochain article…

Internet, c’est génial ! On y trouve de tout et pour tout le monde ! Mais aussi le meilleur… comme le pire.

L’association E-enfance diffuse deux films très efficaces pour sensibiliser les parents aux dangers d’internet. Deux films courts, à la chute brutale, à l’image de ce que les enfants vivent sur le web : le plaisir de découvrir peut virer au cauchemar en un seul clic…

Cette opération me rappelle celle effectuée par le National center for missing and exploited children :

Un jour, je l’espère, ces spots ne seront plus utiles…

Merci à Gilles Klein pour l’information.