Qu'est-ce qu'une attaque par usurpation d'identité ?

On parle de spoofing lorsque quelqu'un ou quelque chose se fait passer pour autre chose dans le but de gagner la confiance d'une victime, d'accéder à un système, de voler des données ou de propager des malwares.

.st0{fill:#0D3ECC;} TÉLÉCHARGER GRATUITEMENT MALWAREBYTES

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Qu'est-ce que le spoofing ? Définition du spoofing

Dans le domaine de la cybersécurité, on parle de spoofing lorsque quelqu'un ou quelque chose se fait passer pour quelqu'un d'autre dans le but de gagner notre confiance, d'accéder à nos systèmes, de voler des données, de l'argent ou de propager des malwares. Les attaques par usurpation d'identité se présentent sous de nombreuses formes :

  • Usurpation d'adresse électronique
  • Usurpation de site web et/ou d'URL
  • Usurpation de l'identité de l'appelant
  • Usurpation de message texte
  • Usurpation d'identité GPS
  • Attaques de type "Man-in-the-middle
  • Usurpation d'adresse
  • Usurpation d'adresse IP
  • Usurpation d'identité

Comment les cybercriminels parviennent-ils à nous tromper ? Souvent, le simple fait d'invoquer le nom d'une grande organisation de confiance suffit à nous inciter à fournir des informations ou à entreprendre une action. Par exemple, un faux courriel provenant de PayPal ou d'Amazon peut vous interroger sur des achats que vous n'avez jamais effectués. Inquiet pour votre compte, vous pourriez être incité à cliquer sur le lien inclus.

À partir de ce lien malveillant, les escrocs vous enverront sur une page web où vous pourrez télécharger un logiciel malveillant ou une fausse page de connexion - avec un logo familier et une URLusurpée - dans le but de récupérer votre nom d'utilisateur et votre mot de passe.

Il y a bien d'autres façons de procéder à une attaque par usurpation d'identité. Dans tous les cas, les fraudeurs comptent sur le fait que les victimes tombent dans le panneau. Si vous ne doutez jamais de la légitimité d'un site web et ne soupçonnez jamais un courriel d'être falsifié, vous risquez d'être victime d'une attaque par usurpation d'identité à un moment ou à un autre.

C'est pourquoi cette page est consacrée à l'usurpation d'identité. Nous vous informerons sur les différents types de spoofs, sur leur fonctionnement, sur la manière de distinguer les courriels et les sites web légitimes des faux, et sur la manière d'éviter de devenir une cible pour les fraudeurs.

Dans le domaine de la cybersécurité, on parle de "spoofing" lorsque quelqu'un ou quelque chose se fait passer pour quelqu'un d'autre dans le but de gagner notre confiance, d'accéder à nos systèmes, de voler des données, de l'argent ou de propager des malwares.

Types de spoofing

Usurpation d'adresse électronique

L'usurpation d'adresse électronique consiste à envoyer des courriels avec de fausses adresses d'expéditeur, généralement dans le cadre d'une attaque par hameçonnage visant à voler vos informations, à infecter votre ordinateur avec des malwares ou simplement à vous demander de l'argent. Les charges utiles typiques des courriels malveillants comprennent les ransomwares, les logiciels publicitaires, les cryptojackers, les chevaux de Troie (comme Emotet) ou les malwares qui réduisent votre ordinateur en esclavage dans un réseau de zombies (voir DDoS).

Mais une adresse électronique usurpée ne suffit pas toujours à tromper le commun des mortels. Imaginez que vous receviez un courriel de phishing contenant ce qui semble être une adresse Facebook dans le champ de l'expéditeur, mais que le corps du courriel soit rédigé en texte simple, sans aucun graphisme ni HTML - pas même un logo. Ce n'est pas quelque chose que nous avons l'habitude de recevoir de Facebook, et cela devrait nous mettre la puce à l'oreille. En conséquence, les courriels d'hameçonnage comportent généralement une combinaison de caractéristiques trompeuses :

  • Fausse adresse d'expéditeur conçue pour donner l'impression qu'elle provient de quelqu'un que vous connaissez et en qui vous avez confiance, peut-être un ami, un collègue, un membre de la famille ou une entreprise avec laquelle vous faites affaire. 
  • Dans le cas d'une entreprise ou d'une organisation, le courrier électronique peut inclure une marque familière, par exemple un logo, des couleurs, une police de caractères, un bouton d'appel à l'action, etc.
  • Les attaques de spear phishing ciblent une personne ou un petit groupe au sein d'une entreprise et utilisent un langage personnalisé et s'adressent au destinataire par son nom.
  • Des fautes de frappe, beaucoup de fautes de frappe. Même s'ils essaient de nous tromper, les escrocs par courriel ne passent pas beaucoup de temps à relire leur propre travail. Les courriels frauduleux contiennent souvent des fautes de frappe ou donnent l'impression d'avoir été traduits par Google Translate. Méfiez-vous des constructions de phrases inhabituelles ; il est peu probable que des entreprises comme Facebook ou PayPal fassent de telles erreurs dans les courriels qu'elles adressent à leurs clients. 

L'usurpation d'adresse électronique joue un rôle essentiel dans les escroqueries à la sextorsion. Ces escroqueries nous font croire que nos webcams ont été détournées par un logiciel espion et utilisées pour nous enregistrer en train de regarder du porno. Ces courriels usurpés diront quelque chose comme "Je t'ai regardé regarder du porno", ce qui est une chose incroyablement bizarre à dire. Qui est le vrai pervers dans ce scénario ?

Les escrocs exigent ensuite une certaine somme en bitcoins ou autres crypto-monnaies, faute de quoi ils enverront la vidéo à tous vos contacts. Pour donner une impression de légitimité, les courriels peuvent également contenir un mot de passe périmé provenant d'une violation de données antérieure. L'usurpation d'identité intervient lorsque les escrocs déguisent le champ de l'expéditeur de l'e-mail pour faire croire qu'il est envoyé depuis votre compte e-mail supposé avoir été violé. Rassurez-vous, il y a de fortes chances que personne ne vous surveille en réalité.

Usurpation de site web

L'usurpation de site web consiste à faire passer un site web malveillant pour un site légitime. Le site usurpé ressemblera à la page de connexion d'un site web que vous fréquentez - jusqu'à la marque, l'interface utilisateur et même un nom de domaine usurpé qui semble identique au premier coup d'œil. Les cybercriminels utilisent ces sites pour s'emparer de votre nom d'utilisateur et de votre mot de passe (usurpation d'identité) ou pour télécharger des malwares sur votre ordinateur ( téléchargement à partir d'un lecteur). Un site web falsifié est généralement utilisé en conjonction avec un courriel falsifié, dans lequel le courriel contient un lien vers le site web.

Il convient également de noter qu'un site web falsifié n'est pas la même chose qu'un site web piraté. Dans le cas d'un piratage de site web, le vrai site web a été compromis et pris en charge par des cybercriminels, sans qu'il y ait eu d'usurpation ou de falsification. De même, le malvertising est une forme de logiciel malveillant à part entière. Dans ce cas, les cybercriminels ont profité de canaux publicitaires légitimes pour afficher des publicités malveillantes sur des sites web de confiance. Ces publicités chargent secrètement des malwares sur l'ordinateur de la victime.

Usurpation de l'identité de l'appelant

L'usurpation de l' identité de l'appelant se produit lorsque des escrocs trompent l'identité de l'appelant en faisant croire que l'appel provient d'un endroit où il n'y en a pas. Les escrocs ont appris que vous êtes plus enclin à répondre au téléphone si l'identifiant de l'appelant indique un indicatif régional identique ou proche du vôtre. Dans certains cas, les escrocs usurpent même les premiers chiffres de votre numéro de téléphone en plus de l'indicatif régional pour donner l'impression que l'appel provient de votre quartier (spoofing du voisin). 

Usurpation de message texte

L'usurpation de message texte ou de SMS consiste à envoyer un message texte avec le numéro de téléphone ou l'identifiant de l'expéditeur de quelqu'un d'autre. Si vous avez déjà envoyé un SMS depuis votre ordinateur portable, vous avez usurpé votre propre numéro de téléphone pour envoyer le texte, car celui-ci ne provenait pas réellement de votre téléphone.

Les entreprises usurpent souvent leurs propres numéros, à des fins de marketing et de commodité pour le consommateur, en remplaçant le long numéro par un identifiant d'expéditeur alphanumérique court et facile à mémoriser. Les escrocs font la même chose : ils cachent leur véritable identité derrière un identifiant d'expéditeur alphanumérique, en se faisant souvent passer pour une entreprise ou une organisation légitime. Les textes usurpés contiennent souvent des liens vers des sites d'hameçonnage par SMS(smishing) ou des téléchargements de malwares.

Les escrocs par SMS peuvent profiter du marché de l'emploi en se faisant passer pour des agences de recrutement et en envoyant à leurs victimes des offres d'emploi trop belles pour être vraies. Dans un exemple, une offre de travail à domicile chez Amazon comprenait une "Toyota Corrola flambant neuve". Tout d'abord, pourquoi a-t-on besoin d'une voiture de fonction si l'on travaille à domicile ? Deuxièmement, la Toyota "Corrola" est-elle une version générique de la Toyota Corolla ? Bien essayé, les escrocs.

Usurpation d'identité GPS

L'usurpation de GPS se produit lorsque vous trompez le GPS de votre appareil en lui faisant croire que vous vous trouvez à un endroit donné, alors que vous vous trouvez en réalité à un autre endroit. Pourquoi diable quelqu'un voudrait-il usurper un GPS ? En deux mots : Pokémon GO.

Grâce à l'usurpation de GPS, les tricheurs de Pokémon GO peuvent faire croire au célèbre jeu mobile qu'ils se trouvent à proximité d'un gymnase du jeu et s'en emparer (ce qui leur permet de gagner de la monnaie du jeu). En réalité, les tricheurs se trouvent dans un lieu - ou un pays - complètement différent. De même, on peut trouver sur YouTube des vidéos montrant des joueurs de Pokémon GO en train d'attraper divers Pokémon sans jamais sortir de chez eux. Si l'usurpation de GPS peut sembler un jeu d'enfant, il n'est pas difficile d'imaginer que des acteurs de la menace pourraient utiliser cette astuce pour des actes plus néfastes que le gain de monnaie de jeu mobile.

Attaque de l'homme du milieu (MitM)

Les attaques de type "Man-in-the-Middle" (MitM) peuvent se produire lorsque vous utilisez le réseau Wi-Fi gratuit de votre café local. Avez-vous pensé à ce qui se passerait si un cybercriminel piratait le réseau Wi-Fi ou créait un autre réseau Wi-Fi frauduleux au même endroit ? Dans les deux cas, vous disposez d'une configuration parfaite pour une attaque de type "man-in-the-middle", ainsi nommée parce que les cybercriminels sont en mesure d'intercepter le trafic web entre deux parties. L'usurpation entre en jeu lorsque les criminels modifient la communication entre les parties pour réacheminer des fonds ou solliciter des informations personnelles sensibles telles que des numéros de carte de crédit ou des identifiants.

Remarque complémentaire : si les attaques MitM interceptent généralement les données dans le réseau Wi-Fi, une autre forme d'attaque MitM intercepte les données dans le navigateur. C'est ce qu'on appelle une attaque de l'homme dans le navigateur (MitB).

Usurpation d'adresse

L'usurpation d'extension se produit lorsque les cybercriminels ont besoin de déguiser des fichiers malveillants exécutables. L'une des astuces les plus courantes consiste à nommer le fichier de la manière suivante : "nom_de_fichier.txt.exe". Les criminels savent que les extensions de fichiers sont cachées par défaut dans Windows . Pour l'utilisateur moyen de Windows , ce fichier exécutable apparaîtra comme "nom-de-fichier.txt".

Usurpation d'adresse IP

L'usurpation d' adresse IP est utilisée lorsqu'une personne souhaite cacher ou déguiser l'endroit à partir duquel elle envoie ou demande des données en ligne. En ce qui concerne les cybermenaces, l'usurpation d'adresse IP est utilisée dans les attaques par déni de service distribué (DDoS ) pour éviter que le trafic malveillant ne soit filtré et pour dissimuler l'emplacement de l'attaquant.

Usurpation d'identité

L'usurpation d'identité faciale est peut-être la plus personnelle, en raison des implications qu'elle comporte pour l'avenir de la technologie et de nos vies personnelles. À l'heure actuelle, la technologie d'identification faciale est relativement limitée. Nous utilisons notre visage pour déverrouiller nos appareils mobiles et nos ordinateurs portables, mais pas beaucoup plus. Mais bientôt, nous pourrions nous retrouver à effectuer des paiements et à signer des documents avec notre visage. Imaginez les conséquences lorsque vous pourrez ouvrir une ligne de crédit avec votre visage. C'est effrayant.

Des chercheurs ont démontré comment des modèles faciaux en 3D construits à partir de vos photos sur les médias sociaux peuvent déjà être utilisés pour pirater un appareil verrouillé par identification faciale. Pour aller plus loin, Malwarebytes Labs a fait état de l'utilisation de la technologie deepfake pour créer de fausses vidéos d'actualité et de fausses sex-tapes, avec la voix et la ressemblance de politiciens et de célébrités, respectivement.

Comment fonctionne le spoofing ?

Nous avons exploré les différentes formes d'usurpation d'identité et passé en revue les mécanismes de chacune d'entre elles. Dans le cas de l'usurpation d'adresse électronique, cependant, il y a un peu plus de détails qui valent la peine d'être abordés. Il existe plusieurs façons pour les cybercriminels de dissimuler leur véritable identité dans une usurpation d'adresse électronique. L'option la plus infaillible consiste à pirater un serveur de messagerie non sécurisé. Dans ce cas, le courrier électronique provient, d'un point de vue technique, de l'expéditeur présumé.

L'option la plus simple consiste à indiquer n'importe quelle adresse dans le champ "De". Le seul problème est que si la victime répond ou si le courriel ne peut pas être envoyé pour une raison quelconque, la réponse sera envoyée à la personne figurant dans le champ "De", et non à l'attaquant. Cette technique est couramment utilisée par les spammeurs pour utiliser des courriels légitimes afin de contourner les filtres anti-spam. Si vous avez déjà reçu des réponses à des courriels que vous n'avez jamais envoyés, c'est l'une des raisons possibles, autre que le piratage de votre compte de messagerie. C'est ce qu'on appelle le backscatter ou spam collatéral.

Une autre façon courante pour les pirates d'usurper des courriels consiste à enregistrer un nom de domaine similaire à celui qu'ils essaient d'usurper, dans ce que l'on appelle une attaque par homographe ou une usurpation d'identité visuelle. Par exemple, "rna1warebytes.com". Notez l'utilisation du chiffre "1" à la place de la lettre "l". Notez également l'utilisation des lettres "r" et "n" pour imiter la lettre "m". Cela présente l'avantage supplémentaire de donner à l'attaquant un domaine qu'il peut utiliser pour créer un site web usurpé.

Quelle que soit la nature de l'usurpation, il ne suffit pas toujours de lancer un faux site web ou un faux courrier électronique dans le monde et d'espérer que tout se passe bien. Pour réussir une usurpation, il faut combiner l'usurpation elle-même et l'ingénierie sociale. L'ingénierie sociale fait référence aux méthodes utilisées par les cybercriminels pour nous inciter à donner des informations personnelles, à cliquer sur un lien malveillant ou à ouvrir une pièce jointe chargée de malwares.

L'ingénierie sociale comporte de nombreuses facettes. Les cybercriminels comptent sur les vulnérabilités que nous avons tous en tant qu'êtres humains, telles que la peur, la naïveté, la cupidité et la vanité, pour nous convaincre de faire quelque chose que nous ne devrions pas faire. Dans le cas d'une escroquerie à la sextorsion, par exemple, vous pourriez envoyer des bitcoins à l'escroc parce que vous craignez que votre proverbial linge sale soit étalé à la vue de tous.

Les vulnérabilités humaines ne sont pas toujours mauvaises non plus. La curiosité et l'empathie sont généralement de bonnes qualités, mais les criminels aiment cibler les personnes qui les manifestent.

Un exemple : l'escroquerie des petits-enfants bloqués, dans laquelle un proche est prétendument en prison ou à l'hôpital dans un pays étranger et a besoin d'argent rapidement. Un courriel ou un texte peut être rédigé comme suit : "Grand-père Joe, j'ai été arrêté pour contrebande de drogue à [insérer le nom du pays]. S'il te plaît, envoie-moi de l'argent, et surtout, ne le dis pas à papa et maman. Vous êtes les meilleurs [trois émojis de smiley heureux] !". Les escrocs comptent ici sur le fait que les grands-parents ne savent généralement pas où se trouve leur petit-fils à un moment donné.

"La réussite de l'usurpation d'identité dépend de la combinaison de l'usurpation elle-même et de l'ingénierie sociale. L'ingénierie sociale fait référence aux méthodes utilisées par les cybercriminels pour nous inciter à donner des informations personnelles, à cliquer sur un lien malveillant ou à ouvrir une pièce jointe chargée de malwares".

Comment détecter le spoofing ?

Voici les signes qui montrent que vous êtes victime d'une usurpation d'identité. Si vous voyez ces signes, appuyez sur la touche "supprimer", cliquez sur le bouton "retour", fermez votre navigateur, ne passez pas votre chemin.

Usurpation de site web

  • Pas de symbole de cadenas ni de barre verte. Tous les sites web sécurisés et réputés doivent disposer d'un certificat SSL, ce qui signifie qu'une autorité de certification tierce a vérifié que l'adresse web appartient bien à l'organisation vérifiée. Il convient de garder à l'esprit que les certificats SSL sont désormais gratuits et faciles à obtenir. Même si un site possède un cadenas, cela ne signifie pas qu'il s'agit d'une véritable affaire. N'oubliez pas que rien n'est sûr à 100 % sur l'internet.
  • Le site web n'utilise pas le fichier chiffrement. Le protocole HTTP(Hypertext Transfer Protocol) est aussi vieux que l'internet et fait référence aux règles utilisées pour le partage de fichiers sur le web. Les sites web légitimes utilisent presque toujours HTTPS, la version cryptée de HTTP, lorsqu'ils transfèrent des données dans les deux sens. Si vous êtes sur une page de connexion et que vous voyez "http" au lieu de "https" dans la barre d'adresse de votre navigateur, vous devriez vous méfier.
  • Utilisez un gestionnaire de mots de passe. Un gestionnaire de mots de passe tel que 1Password remplira automatiquement vos identifiants de connexion pour tout site Web légitime que vous enregistrez dans votre coffre-fort de mots de passe. Toutefois, si vous vous rendez sur un site Web usurpé, votre gestionnaire de mots de passe ne reconnaîtra pas le site et ne remplira pas les champs du nom d'utilisateur et du mot de passe pour vous - un bon signe que vous êtes victime d'une usurpation d'identité.

Usurpation d'adresse électronique

  • Vérifiez l'adresse de l'expéditeur. Comme nous l'avons mentionné, les escrocs enregistrent de faux domaines qui ressemblent à s'y méprendre à des domaines légitimes.
  • Recherchez sur Google le contenu de l'e-mail. Une recherche rapide peut vous indiquer si un courriel d'hameçonnage connu est en train de faire son chemin sur le web.
  • Les liens intégrés ont des URL inhabituels. Vérifiez les URL avant de cliquer en les survolant avec votre curseur.
  • Fautes de frappe, mauvaise grammaire et syntaxe inhabituelle. Souvent, les escrocs ne relisent pas leur travail.
  • Le contenu du courriel est trop beau pour être vrai.
  • Il y a des pièces jointes. Méfiez-vous des pièces jointes, en particulier lorsqu'elles proviennent d'un expéditeur inconnu.

Usurpation de l'identité de l'appelant

  • L'identification de l'appelant est facilement falsifiée. Il est regrettable que nos téléphones fixes soient devenus un foyer d'appels frauduleux. C'est d'autant plus inquiétant que la majorité des personnes qui ont encore un téléphone fixe sont des personnes âgées, le groupe le plus susceptible d'être victime d'appels frauduleux. Laissez les appels d'inconnus sur votre téléphone fixe tomber sur la messagerie vocale ou le répondeur.

Comment puis-je me protéger contre le spoofing ?

Avant toute chose, vous devez apprendre à repérer une attaque par usurpation d'identité. Si vous avez sauté la section "Comment détecter l'usurpation d'identité", nous vous conseillons de la relire.

Activez votre filtre anti-spam. Cela empêchera la majorité des courriels usurpés d'arriver dans votre boîte de réception.

Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes d' un courriel provenant d'un expéditeur inconnu. S'il y a une chance que le courriel soit légitime, contactez l'expéditeur par un autre canal et confirmez le contenu du courriel.  

Connectez-vous dans un autre onglet ou une autre fenêtre. Si vous recevez un courriel ou un message texte suspect vous demandant de vous connecter à votre compte et de prendre certaines mesures, par exemple de vérifier vos informations, ne cliquez pas sur le lien fourni. Ouvrez plutôt un autre onglet ou une autre fenêtre et naviguez directement sur le site. Vous pouvez également vous connecter via l'application dédiée sur votre téléphone ou votre tablette.

Décrochez le téléphone. Si vous avez reçu un courriel suspect, censé provenir d'une personne que vous connaissez, n'hésitez pas à appeler ou à envoyer un SMS à l'expéditeur pour confirmer que c'est bien lui qui a envoyé le courriel. Ce conseil est particulièrement vrai si l'expéditeur fait une demande qui sort de l'ordinaire, du genre : "Pourriez-vous acheter 100 cartes-cadeaux iTunes et m'envoyer les numéros de ces cartes par courriel ? Merci, votre patron."

Afficher les extensions de fichiers sur Windows. Windows n'affiche pas les extensions de fichiers par défaut, mais vous pouvez modifier ce paramètre en cliquant sur l'onglet "Affichage" dans l'Explorateur de fichiers, puis en cochant la case permettant d'afficher les extensions de fichiers. Cela n'empêchera pas les cybercriminels d'usurper les extensions de fichiers, mais vous pourrez au moins voir les extensions usurpées et éviter d'ouvrir ces fichiers malveillants.

Investissez dans un bon programme antivirus. Si vous cliquez sur un mauvais lien ou une mauvaise pièce jointe, ne vous inquiétez pas, un bon programme antivirus sera en mesure de vous avertir de la menace, d'arrêter le téléchargement et d'empêcher les malwares de s'implanter dans votre système ou votre réseau. Malwarebytes Le site web de l'entreprise, par exemple, propose des produits antivirus/antimalware que vous pouvez essayer gratuitement avant de souscrire un abonnement.

Actualités sur le spoofing

Pour en savoir plus sur le spoofing et sur les dernières nouvelles concernant les cybermenaces, visitez le blogMalwarebytes Labs .

Histoire du spoofing

L'usurpation d'identité n'a rien de nouveau. En fait, le mot "spoof" en tant que forme de tromperie remonte à plus d'un siècle. Selon le dictionnaire en ligne Merriam-Webster, le mot "spoof" est attribué à l'humoriste anglais du XIXe siècle Arthur Roberts, en référence à un jeu de tromperie et d'escroquerie créé par Robert. Les règles du jeu ont été perdues au fil du temps. On peut supposer que le jeu n'était pas très amusant ou que les Britanniques de l'époque n'aimaient pas qu'on se moque d'eux. Quoi qu'il en soit, le nom est resté, mais pas le jeu.

Ce n'est qu'au début du XXe siècle que spoof est devenu synonyme de parodie. Pendant plusieurs décennies, chaque fois que quelqu'un mentionnait "spoof" ou "spoofing", c'était en référence à quelque chose de drôle et de positif, comme la dernière parodie de film de Mel Brooks ou l'album comique de "Weird Al" Yankovic.

Aujourd'hui, le terme "spoofing" est le plus souvent utilisé dans le domaine de la cybercriminalité. Chaque fois qu'un escroc ou une cybermenace prétend être quelqu'un ou quelque chose qu'il n'est pas, il s'agit d'une usurpation d'identité.