Depuis quelques temps, les attaques d’usurpation de sites Web se multiplient. Je ne ferai pas la liste exhaustive de tous les sites mais vous donnerai quelques exemples choisis.

Je dois, par exemple, me rendre prochainement aux États-Unis. Les formalités pour les ressortissants d’un pays comme la France prévoient que l’on puisse remplir sur un site Internet l’équivalent du formulaire vert que l’on remplissait précédemment dans l’avion (vous savez, celui où vous vous aperceviez trop tard que vous n’aviez pas mis votre date de naissance sur la bonne ligne :-)). Il existe donc, un site officiel, gratuit, pour réaliser l’opération. Il est accessible via :
https://esta.cbp.dhs.gov/esta/esta.html

J’ai vu passer une copie d’écran d’un site qui tentait de ce faire passer pour ce site officiel. Non seulement les informations demandées étaient similaires, mais le site frauduleux prétendait vous demander de payer quelques euros, via l’indication de numéro de carte bancaire. La somme demandée n’était pas importante. Sans être méfiant, il était possible d’être trompé. Bien naturellement, ce n’était pas à ces quelques euros que le site frauduleux en voulait ! L’objectif était de récupérer votre numéro de carte.

Dans le même genre, j’ai eu connaissance d’une arnaque sur le site de la direction générale des impots. L’appat repose sur un message électronique vous informant d’un remboursement d’une partie des impôts perçus. Chic ! Cela n’arrive pas tous les jours ! Vous êtes invités à aller inscrire vos coordonnées bancaires de manière à pouvoir effectuer ce remboursement. Le site actuel de la DGI indique qu’il s’agit d’une arnaque comme précisé dans l’actualité :
http://www.impots.gouv.fr/portal/dgi/public/actualite

Dans le même genre, la Caisse des Allocations Familiales subit une attaque actuelle d’un genre similaire. Il serait possible de multiplier les exemples.

Comment s’en protéger ?

La première démarche est de ne pas confier un numéro de carte bancaire sur un site qui n’utilise pas SSL, donc, commençant par https. Non seulement, ce mécanisme évite de faire transiter en clair les informations demandées, mais, de plus, il est possible de vérifier l’identité du propriétaire du certificat qui permet cet usage. Dans la plupart des cas, vous ne vérifiez pas cette information, mais c’est une erreur.

La seconde démarche est de pas croire au père Noël. Si vous recevez un mail d’une personne que vous ne connaissez pas, il est très peu probable que cette personne soit le Père Noël et décide de vous faire un cadeau. C’est d’autant plus vrai si pour recevoir ce cadeau, le Père Noël vous demande de payer une somme quelconque.

Vous pouvez trouver beaucoup d’informations sur la protection de votre ordinateur et la sécurité lorsque vous surfez sur Internet sur :
http://www.microsoft.com/france/protect/

De manière plus personnelle, j’aime assez les billets publiés par Mathieu Malaise sur :
http://blogs.technet.com/pasdemalaise/default.aspx

En particulier :
http://blogs.technet.com/pasdemalaise/archive/tags/arnaques/default.aspx