EU-PI European Union anti-phishing Initiative

Transcription

1 EU-PI Co-financé : Rapport par d activité le programme en France, Prévenir Semestre et 1 EU-PI European Union anti-phishing Initiative Phishing Initiative FRANCE : Rapport d activité : Semestre 1 (08/ /2015) Projet coordonné par Ce projet est soutenu financièrement par la Commission Européenne. Les informations contenues dans ce document reflètent uniquement les positions de l auteur, et la Commission Européenne ne saurait être Co-financé tenue pour par responsable programme de Prévenir l usage et qui pourrait en être fait. 1

2 Index Index... 2 Remerciements... 2 A propos du projet EU- PI... 3 Partenaires du projet... 3 Périmètre du projet... 3 Méthodologie... 4 Limites... 4 Rappel : une URL n équivaut pas à une attaque!... 5 Prochaines étapes... 8 A propos de Phishing Initiative France... 9 Genèse... 9 Statistiques... 9 Résumé exécutif du rapport Données statistiques Signalements reçus Analyse des Contributeurs Nouveaux contributeurs Analyse des URL de phishing confirmées Noms d hôtes et domaines Extensions de domaines Focus sur les NgTLD : Adresses en HTTPS Adresses IP Numéros d AS (Autonomous System Number) Conclusion et recommandations Remerciements Nous tenons à remercier particulièrement : - la Commission Européenne pour son soutien financier - l ensemble de nos partenaires mobilisés pour ce projet, et en particulier : Antonio Kin-Foo, Tahin Andramahazosoa, Jérôme Tessier, Clément Erena, Alexandre Dulaunoy, Mélanie Delannoy, Jean-Dominique Nollet, Thomas Fontvielle, Pim Volkers, Bernard Ourghanlian et Bertrand Lathoud - les contributeurs (particuliers, entreprises et administrations) qui nous signalent des adresses suspectes tout au long de l année - les analystes anti-phishing du CERT-LEXSI qui vérifient chacun de ces signalements. 2

3 A propos du projet EU- PI EU-PI est un projet porté par un consortium de 7 organisations publiques et privées françaises, luxembourgeoises et hollandaises. D une durée de 2 ans, il est coordonné par la société LEXSI depuis le 1 er août Il est cofinancé dans le cadre d un appel à projet initié en 2013 au sein du programme ISEC, «Illegal Use of Internet», par la Direction Générale Affaires Intérieures de la Commission Européenne. Partenaires du projet Périmètre du projet Dans le cadre du projet EU-PI, l association française Phishing Initiative sollicite les Internautes français pour qu ils signalent des adresses de pages Web suspectées d héberger des contenus frauduleux impliqués dans des attaques de type hameçonnage (aussi appelé phishing) 1. Il est possible de nous signaler une adresse suspecte identifiée sur tout support ou media, et en particulier dans un , lors d un appel, SMS, commentaire de forum, message instantané ou interne à un réseau social

4 Méthodologie Chaque URL signalée subit différentes vérifications automatiques (1) et manuelles (2), afin d être vérifiée et qualifiée. Une fois analysées, les adresses confirmées comme phishing sont diffusées à des partenaires techniques (3) pour ajout dans des listes noires de blocage (4). Ces mécanismes d alerte de l Internaute naviguant sur le Web sont activés par défaut dans les versions récentes des principaux navigateurs qui reçoivent les données en provenance de notre plateforme : - Internet Explorer - Chrome - Firefox - Safari Limites Notre projet n a en revanche pas vocation à analyser et adresser : - la plupart des escroqueries par avance de frais (arnaque nigériane), diffusée par , mais sans existence d une page Web frauduleuse - des campagnes de phishing cherchant à dérober vos informations confidentielles par retour d , appel téléphonique ou encore SMS - les adresses de sites promus dans les spams reçus chaque jour mais qui ne participent pas à une attaque par phishing, et notamment les sites de vente de produits potentiellement contrefaits (médicaments, luxe,...), de rencontres, de jeux en ligne, etc. NB : Pour agir contre le spam, nous vous recommandons d installer les outils de signalement de notre partenaire Signal-Spam : 4

5 Dans tous les cas, nous vous encourageons également à signaler : - les tentatives de phishing aux ayants droit impactés et/ou dont l identité est usurpée pour crédibiliser une attaque. Des moyens de communication spécifiques sont parfois mis à disposition des Internautes par chaque entité, notamment une adresse de courriel par exemple de type «abuse@[nom de domaine de l organisation]», un formulaire en ligne ou un numéro de téléphone dédié. - tout contenu illicite sur Internet à la plateforme PHAROS du Ministère de l Intérieur, accessible à cette adresse : (ou via le numéro Info Escroqueries : ) Si vous êtes victimes d une escroquerie par phishing, nous vous encourageons de plus : - à prévenir au plus vite votre établissement bancaire et les prestataires dont l identité était usurpée et auprès desquels les données dérobées pourraient être utilisées (société d assurance, fournisseur d accès, etc.), - à porter plainte au commissariat ou à la gendarmerie la plus proche. Rappel : une URL n équivaut pas à une attaque! Le nombre d URL n est pas directement associable à un nombre de campagnes d attaques par phishing. Différents facteurs influent à la hausse ou à la baisse l estimation du nombre de campagnes de phishing distinctes d après le nombre d URL identifiées. Facteurs contribuant à surestimer le nombre d attaques : Chaque campagne de phishing peut exploiter plus d une URL, notamment par l emploi de redirection(s) vers la page frauduleuse effective. De même, différentes pages de phishing du même kit, composant le même scénario d ingénierie sociale, nous sont parfois soumises : la page d accueil ou de vol des identifiants à un service en ligne la page volant les informations sur l identité de la victime la page volant les données bancaires D autre part, les pirates utilisent parfois des kits de phishing avec des URL uniques qui sont générées à chaque clic, voire pour un destinataire en particulier. 5

6 Facteurs contribuant à sous-estimer la menace L initiative n a pas la prétention de couvrir l exhaustivité des attaques, notamment des campagnes très spécifiques et ciblées, diffusées uniquement à quelques individus (sens original du «spear phishing»). De plus, des attaques de phishing ne mettant pas en scène une page Web frauduleuse, mais la sollicitation des internautes directement par , par téléphone ou encore SMS ne seront pas comptabilisées dans le cadre de nos activités. From: service@verification597.com Subject: CONFIRMATION DE VOTRE COMPTE Date: Fri, 13 Mar :27: Chers Utilisateurs, Dans le cadre de l'installation définitive des nouveaux paramètres Mail et de la réinitialisation de toutes nos adresses, il est procédé à un marquage de tous les comptes actifs à ce jour. Afin de ne pas risquer de perdre votre compte Mail lors de l expiration de notre précédant service de messagerie, vous êtes donc prié de bien vouloir remplir impérativement la grille d information en dessous. Passé le délai de 48h, nous procéderons à la suppression de toutes les adresses non encore enregistrées. Cliquez sur "Répondre" Remplissez la grille d'informations. Ensuite cliquez sur "Envoyer" Une fois le remplissage terminé. Informations obligatoires * Nom& Prénoms: * Adresse Mail:* Mot de Passe: * Confirmation du Mot de Passe: * Pays / Ville: * Votre adresse Secours: * Mot de Passe: * Question secrète: * Réponse: * Numéro de téléphone : * Profession et date de naissance: * Après avoir répondu au questionnaire et après vérification par nos services votre compte continuera de fonctionner normalement. Nous vous remercions pour votre bonne compréhension et nous exerçons à améliorer nos services pour nos utilisateurs. Tout en nous excusant pour ces désagréments. Exemple de phishing avec vol des données par 6

7 D autres cas sont à la limite entre escroquerie et phishing «traditionnel», puisqu ils usurpent l identité d un site légitime connu, mais ne visent pas à dérober d informations personnelles telles des identifiants ou numéros de cartes bancaires. Ils font en revanche miroiter une offre «exceptionnelle», qui peut tromper un internaute peu vigilant. Les auteurs exploitent par exemple des copies de sites d actualités économiques comme celui de La Tribune, pour rediriger les utilisateurs sur des sites partenaires proposant des produits ou inscriptions sur des sites de rencontres, pornographiques, etc. Souvent l offre repose sur la base d un abonnement mensuel, avec reconduction tacite et prix croissant ou plus élevé qu affiché initialement. Exemple de faux site La Tribune Enfin, dans un certain nombre de cas, nous ne sommes pas en mesure de confirmer le caractère malveillant de l adresse signalée, par exemple parce que la page frauduleuse a déjà été nettoyée par l hébergeur ou n est pas encore mise en ligne. Nous faisons notre possible pour étendre notre champ d action, et estimons que sur les typologies de cas couverts, plus de 80% des attaques sont vraisemblablement signalées, par les internautes ciblés et/ou les ayants droit dont l identité est usurpée. 7

8 Prochaines étapes Une mise à jour de l application sera bientôt en ligne et vous permettra d accéder à certains services, notamment de suivi de vos signalements. Le prochain rapport semestriel synthétisant la première année d activité de la partie française du projet EU-PI sera diffusé en septembre

9 A propos de Phishing Initiative France Genèse Phishing Initiative est une association loi 1901 créée en France en février 2011, par 3 acteurs actifs dans la lutte contre le phishing (et le spam en général, en tant que membres actifs de l association Signal-Spam) : - Microsoft, opérant la liste noire de son navigateur Web Internet Explorer - PayPal, un des ayants droit les plus touchés en matière de phishing - Lexsi, leader européen des services de lutte anti-phishing Statistiques Au cours de ses 4 années d activité, l initiative a connu une croissance continue du nombre de signalements reçus, et de façon concomitante, du nombre de phishing confirmés. Au total ce sont ainsi plus de URL dont URL uniques qui nous ont été remontées, par environ personnes distinctes. En 2014, URL uniques ont été reçues via le formulaire Web ou à travers notre partenaire et prestataire LEXSI, soit près de 50% de plus qu en Depuis le début de cette initiative, plus de URL participant à des campagnes actives de phishing, dont URL en 2014 soit près de 140 par jour, ont ainsi été identifiées et diffusées à nos partenaires. 9

10 Résumé exécutif du rapport Dans le cadre du projet européen EU-PI, l association Phishing Initiative France, fondée en 2011 par Microsoft, PayPal et LEXSI, a poursuivi lors des 6 derniers mois (août 2014 janvier 2015) son activité de collecte, vérification et blocage des signalements d adresses Web suspectes. Ces URL ont été reçues de milliers d Internautes français victimes de tentatives de phishing et des principaux ayants droit dont l identité est usurpée dans ces attaques. Plus de URL uniques ont été soumises et analysées par les experts du CERT-LEXSI, dans les 30 minutes suivant le signalement. Parmi ces adresses suspectes, plus de 60% participaient effectivement après investigation à une campagne de phishing et ont donc été transmises aux éditeurs de solutions opérant les listes noires incluses par défaut dans les principaux navigateurs Web récents (Internet Explorer, Chrome, Safari et Firefox). La liste noire «SmartScreen Filter» est ainsi activée par défaut au sein d Internet Explorer depuis sa version 8. Sur la période, ce sont ainsi plus de adresses frauduleuses distinctes et actives au moment de notre analyse, qui ont été détectées. Il demeure cependant complexe de mesurer le nombre exact de campagnes de phishing distinctes qui ont été lancées, du fait de plusieurs facteurs (à la hausse mais aussi à la baisse) à prendre en compte dans la méthodologie de calcul. Parmi les URL confirmées, la très grande majorité était accessibles via le protocole http et seules 3,5% l étaient via https. Dans ces cas de figure, il s agissait pour un cas sur deux de sites compromis configurés avec un certificat SSL. Seuls quelques dizaines de certificats frauduleux ont effectivement été identifiés. 5% des URL étaient composées sans nom d hôte, mais directement joignables depuis une adresse IP noms d hôtes différents ont été identifiés et ceuxci résolvaient vers plus de adresses IP différentes utilisées pour héberger ces contenus. La moitié de ces adresses IP étaient associées à des classes d adresses appartenant en majorité à des prestataires d hébergement (notamment américains). Moins de 5% des cas étaient hébergés sur une adresse IP déclarée comme «française». Les plus grands volumes d URL se concentrent naturellement chez les plus «gros» hébergeurs. Mais de fortes disparités existent dès lors que le ratio d URL incriminé est ramené aux nombres d adresses IP annoncées par chacun de ces prestataires. «L efficacité» des prestataires en matière de lutte contre le phishing peut donc dès lors varier fortement. Les noms de domaines exploités étaient par ailleurs déposés au sein de 190 extensions de domaines différentes. Mais dans près de la moitié des cas sur un domaine en «.com», loin devant des domaines en «.fr» (7%). Les nouvelles extensions génériques de domaines autorisées par l ICANN depuis octobre 2013 ne représentent à ce stade qu une infime part des extensions de domaines utilisées dans les adresses détectées (1 pour 1000 environ). 10

11 Les adresses frauduleuses étaient localisées en majorité sur des sites légitimes compromis, mais une recrudescence de l enregistrement de domaines spécifiquement par les fraudeurs pour mener leurs attaques est constatée ces derniers mois voire années. La sensibilisation des Internautes demeure insuffisante, puisque le phishing continue de faire des centaines de milliers de victimes chaque année, et que les pirates font évoluer leurs stratégies. Vu les enjeux que représente la confiance dans l économie numérique pour la France et l Union Européenne en général, le besoin de limiter les impacts financiers et sociaux du phishing est toujours plus fort. La Commission Européenne soutient ainsi notre initiative «EU-PI», qui promeut la mobilisation citoyenne des Internautes pour signaler au plus vite les contenus suspectés de participer à des tentatives de phishing. Le projet vise également à faciliter la coordination entre les différentes organisations du secteur public et privé (éditeurs de solutions logicielles et de services de cybersécurité, fournisseurs d accès à Internet, ayantdroits, forces de l ordre, etc.) à même et ayant pour intérêt de lutter contre le phénomène du phishing. 11

12 Données statistiques Signalements reçus La période d étude de ce rapport couvre le 1 er semestre d activité, soit du 1 er aout 2014 au 31 janvier Les données collectées proviennent de la plateforme française du projet EU-PI, active depuis début Au cours du 1 er semestre d activité de EU-PI France, près de URL (69 953) dont plus de URL uniques (41 830) ont été signalées. Plus de (5 267) d entre elles proviennent directement de LEXSI. Par rapport à la même période l année précédente (08/ /2014), le nombre de signalements a plus que doublé août-14 sept.-14 oct.-14 nov.-14 déc.-14 janv.-15 Chaque phishing a en moyenne été soumis par 2 utilisateurs, mais la répartition n est pas linéaire, puisque deux tiers des URL n ont été signalées qu une seule fois, tandis que certaines ont été signalées par plus de 50 contributeurs. Le phishing avec le plus grand nombre de signalements reçus a été remonté 62 fois en décembre 2014 et usurpait l identité de la CAF. Il est possible que la campagne de spams ait dans ce cas été bien plus massive, probablement en direction de centaines de milliers voire plusieurs millions de destinataires. Les URL ont été qualifiées par les équipes du CERT-LEXSI en moins de 30 minutes en moyenne (et dans un temps médian inférieur à 15 minutes). 12

13 Analyse des Contributeurs Depuis le lancement de la plateforme il y a 4 ans, plus de adresses différentes ont été utilisées pour nous signaler des pages web suspectes. Nous estimons donc que plusieurs dizaines de milliers d individus distincts ont contribué à protéger les autres Internautes via notre initiative. Rappel : L adresse renseignée par les contributeurs lors d un signalement est uniquement demandée à titre informatif à ce stade. Donc les contributeurs ne peuvent être dénombrés avec une formelle assurance. Nouveaux contributeurs Sur la période d étude, plus de nouveaux contributeurs présumés ont été enregistrés. L année précédente (1/8/13-31/1/14), nouvelles adresses différentes avaient été utilisées pour signaler une URL sur la plateforme, l initiative a donc potentiellement attiré près de 20% d individus en plus. Cette évolution peut signifier d une part que la notoriété du projet continue de croître, mais une autre hypothèse est que de nouveaux Internautes sont régulièrement ciblés par des campagnes de phishing. Les principaux fournisseurs de messagerie électronique 2 et d accès à Internet 3 représentent la très large majorité des s renseignés par les contributeurs lors des signalements : gmail.com hotmail.fr hotmail.com free.fr yahoo.fr sfr.fr neuf.fr orange.fr live.fr wanadoo.fr laposte.net club-internet.fr aol.com ESP pour Service Provider 3 ISP pour Internet Service Provider (= FAI en français) 13

14 Les premiers nouveaux Internautes à soumettre des adresses en renseignant des adresses professionnelles travaillent à priori pour la DGFIP 4 et le Crédit Mutuel 5. Un petit nombre d individus a renseigné lors d un signalement une adresse de type «quelquechose@jetable.org» ou «autrechose@yopmail.com». Ce dernier est un fournisseur illimité d adresses s instantanées permettant de ne pas divulguer son adresse de courriel dans certains cas de figure et éviter de fait certaines sollicitations non désirées (c est à dire du spam). Nous attirons néanmoins l attention sur le fait que ces s sont consultables publiquement et que l usage de ce type de compte doit donc être réservé pour les échanges non personnels. S enregistrer ou demander la réinitialisation d un mot de passe via une adresse Yopmail présente un risque de perdre la main sur le compte Seul un faible pourcentage de contributeurs demeurent actifs dans le temps, en envoyant plus d un signalement par mois. La majorité d entre eux n a soumis qu une ou deux URL spécifiques au cours de la période. Les «gros» contributeurs, responsables de près de la moitié des signalements, se composent d une douzaine d ayants droit, dont l identité est majoritairement usurpée dans les campagnes de phishing. 4 Ministère de l Economie et des Finances 5 ou plus précisément sa filiale informatique Euro Information services 14

15 Analyse des URL de phishing confirmées Après investigation par les analystes du CERT- LEXSI, plus de adresses distinctes (25 648) soit plus de 60% d entre elles ont pu être confirmées comme frauduleuses, car redirigeant ou hébergeant du contenu de type phishing. 39% Le volume de signalements confirmés comme phishing est relativement stable, avec une faible progression culminant en décembre % URL uniques validées comme phishing sur le Semestre 1 Noms d hôtes et domaines noms d hôtes distincts hébergeaient ces pages de phishing, soit environ 2 URL par hôte. NB : Pour 609 d entre eux, soit dans moins de 5% des cas, l adresse était directement accessible depuis une adresse IP. 15

16 Certains domaines hébergent ainsi plusieurs campagnes de phishing, usurpant l identité de différentes organisations : Dans le cas de figure ci-dessus, le domaine est déposé par et sous contrôle direct de l attaquant, lui permettant de créer autant d adresses URL que souhaité. Il est difficile d estimer la proportion de domaines compromis par rapport aux domaines spécifiquement déposés par les fraudeurs. Mais cette pratique implique plusieurs milliers de cas et plusieurs centaines de domaines frauduleux parmi les adresses frauduleuses recensées au cours de la période d étude. Il est par ailleurs constaté une utilisation de plus en plus fréquente de domaines «génériques» : mettre-ajour.com communication-services.info messa gerie-15.eu arrivage-colis.com etc. Ceux-ci, n usurpant pas une marque, sont donc susceptibles de ne pas être repérés par l ayant droit via une surveillance des enregistrements des nouveaux noms de domaine impactant cette marque. Extensions de domaines On constate néanmoins une tendance de fond à l augmentation par rapport à 2013 de l enregistrement de domaines frauduleux, en particulier dans l extension en «.fr». Les URL frauduleuses étaient accessibles depuis des sites avec 190 extensions de domaines différentes. 16

17 nl 1% eu 1% info 2% ru 2% br org 3% 4% autres 18% net 6% fr 7% com 48% L extension la plus fréquente demeure largement le «.com», avec près de la moitié des URL concernées, devant le «.fr» suivi du «.net». Focus sur les NgTLD 6 : L ICANN a initié il y a quelques années un projet d ouverture à des centaines de nouvelles extensions de domaines génériques (appelés nouveaux gtld). A ce jour, il existe déjà plus de 4,5 millions de domaines déposés sur un «NgTLD» et plus de 500 nouvelles extensions en activité. Seuls 26 cas avec un domaine utilisant une de ces nouvelles extensions génériques de domaines ont été identifiés pendant le semestre, soit 1 cas sur 1000 environ. Plus de la moitié des attaques reposent sur des domaines enregistrés par les pirates expressément, notamment avec l extension «.club». Une hypothèse expliquant cette «préférence» est que les domaines au sein de cette extension figurent parmi les moins chers du marché (10$). Une seule adresse avec domaine en NgTLD était accessible via le protocole HTTPS : Il ressort de cette analyse que les domaines compromis l ont été par opportunisme, et n ont pas été visés spécifiquement parce qu ils disposaient d une nouvelle extension générique plus à même de piéger un Internaute. club ovh guru host zone website service photography menu media credit center buzz academy New generic Top Level Domains : 17

18 Adresses en HTTPS Pour l internaute lambda, «https» dans une URL est un gage de confiance, un critère indiquant la probable légitimité d un site. Les internautes sont ainsi encouragés depuis des années à vérifier la présence ou non du cadenas et d une adresse commençant en https. Or, cet élément d analyse est très imparfait, voire peut donner un faux sentiment de sécurité, puisqu il est aisé et peu cher pour un pirate d acheter et installer un certificat SSL (surtout lorsqu il se sert d un numéro de carte bancaire volé lors d une précédente attaque). Il nous paraissait donc intéressant de vérifier dans quelle mesure des pages de phishing accessibles en https existaient ou non à l heure actuelle. Trend Micro mentionnait d ailleurs en septembre dernier l augmentation des cas de phishing basés sur une URL en https 9. HTTPS 3,5 Durant la période d étude, une faible proportion d URL confirmées comme phishing (environ 900 adresses soit 3,5%) étaient accessibles en https. Les phisheurs exploitent dans ces cas de figure les principales techniques suivantes : HTTP 97,5 1. Dans près d une URL sur deux, un site compromis ayant configuré un certificat SSL héberge le contenu frauduleux : sites publics (huanluyenantoan.gov.vn, iponline.myipo.gov.my, cr-languedocroussillon.fr, etc.) sites privés (disneyparks.com, nic.cr, etc.) La plupart des cas proviennent de l exploitation d un serveur vulnérable, notamment ceux utilisant l application ColdFusion 10, caractérisée souvent par la présence du répertoire «/cfide/» dans l URL. 2. Dans environ un quart des cas, un service ou une ressource légitime, effectivement accessible via https, est utilisé : o des raccourcisseurs d URL (goo.gl, bit.ly, etc.), o des espaces d hébergement ou d ing (docs.google.com, azurewebsites.net, newslettertool2.1und1.de, etc.) o des serveurs de diffusion de publicités (google, adf.ly, etc.) o des redirections d URL accessibles à tous, comme sur migs.mastercard.com.au 11, hide-my-ip.com, etc La vulnérabilité a été publiquement relayée le 28 juillet sur Elle est exploitée dans ce cas figure un mois et demi après, à partir du 16 septembre. 18

19 3. Enfin, dans le quart restant, un certificat semble avoir été configuré pour un domaine déposé dans le cadre de l attaque. Plus de 100 domaines différents déposés par des phishers ont ainsi été identifiés dans les seules 900 URL confirmées et soumises avec https. Cette proportion d URL pourrait à moyen terme augmenter fortement si le projet «letsencrypt.org» réussit son pari. Celui-ci cherche à démocratiser à l ensemble des sites Web l usage d un certificat SSL, en les rendant gratuits et très simples à configurer. L évolution peut être touchée du doigt avec la nouvelle politique mise en œuvre par le prestataire américain CloudFlare, qui permet depuis l automne dernier à ses plus de 2 millions de sites clients de bénéficier d un chiffrement SSL automatique 12. La sensibilisation du public devra idéalement évoluer pour faire prendre conscience des risques potentiels pour les Internautes de visiter un site Web en https. Adresses IP adresses IP différentes ont hébergé les signalements considérés comme frauduleux. Près de 10% des cas ont été recensés sur une dizaine d IP différentes et notamment sur l IP , associée à un espace d hébergement mutualisé chez Yahoo. NetRange: CIDR: /14 NetName: A-YAHOO-US9 NetHandle: NET Parent: NET98 (NET ) NetType: Direct Allocation Organization: Yahoo! Inc. (YHOO)

20 Nombre d URL identifiées par adresse IP (Top10) 50% US 24% FR 4% Près d un quart des IP sont annoncées comme appartenant à une classe d adresses localisées aux Etats-Unis. Viennent ensuite loin derrière les IP annoncées comme françaises (moins de 5%), allemandes et britanniques. Autres 10% DE 3% GB 2% RU 1% Pays annoncé pour les adresses IP répondant aux URL de phishing Numéros d AS (Autonomous System Number) Les 10 ASN 13 ayant hébergé le plus d URL identifiées lors de la période d étude ont représenté environ un tiers des cas survenus. Il s agit majoritairement des principaux hébergeurs occidentaux : - le géant français du domaine OVH (leader européen et 3 ème mondial) - deux importants prestataires américains : o Unified Layer 14 o Goddady (premier bureau d enregistrement de domaines) / 20

21 Numéros d AS associés aux adresses IP identifiées 65% 4% 12% 4% Autres Il est intéressant de comparer ensuite ces résultats en prenant en considération la «taille 15» de ces détenteurs d AS. Cette comparaison se base sur le ratio du volume de pages de phishing hébergées identifiées par rapport au nombre d adresses IP annoncées par chaque ASN. Dans ce nouveau «classement» figurent dès lors d autres acteurs, plus petits et moins connus ,00% 1,00% 2,00% 3,00% 4,00% 5,00% 6,00% Ratio par ASN du nombre d URL de phishing vs. nombre d IP annoncées 15 Le nombre de sites Web hébergés par chaque prestataire n étant pas connu, notre calcul se base sur le nombre d adresses IP additionnées d après les différentes classes d adresses IP annoncées dans les tables de routage BGP au moment de notre analyse. 21

22 Les principaux détenteurs d AS figurant au sein de ce Top10 sont notamment : o o o AS32987 : CInetworks (US) AS42366 : TerraTransit (DE) AS36445 : Coextro (CA) NB : Les classes d adresses IP annoncées par chaque AS varient régulièrement et ce calcul est dès lors représentatif d un ratio calculé à un instant «t». 22

23 Conclusion et recommandations Une vigilance accrue des Internautes est de plus en plus requise pour éviter les nombreux pièges sur Internet, et notamment les tentatives d escroquerie par phishing. Comme dans la campagne de sensibilisation actuellement en cours aux Etats-Unis (Stop-Think-Connect 16 ), il est urgent «de s arrêter, réfléchir et ne pas répondre dans la précipitation» à des sollicitations non désirées, par mais également via les autres canaux de communication (et en particulier par téléphone). Les pirates ne cessent d innover et d améliorer leurs pratiques. Il nous faut donc améliorer nos moyens : - de détection, pour tendre vers une connaissance exhaustive des cas, et également mieux appréhender le phénomène et ses tendances, - de réaction, pour minimiser les impacts des campagnes de phishing. C est le sens de l action du projet EU-PI. Mais avant tout, la sensibilisation des Internautes aux risques du phishing doit se poursuivre et se renforcer, pour réduire le nombre de victimes des attaques de phishing. Certains messages (et méthodes) de prévention doivent probablement évoluer, car pourraient à terme être moins efficaces, notamment à cause : du recours croissant à des domaines frauduleux proches de ceux des organisations dont l identité est usurpée, des opportunités offertes par les nouvelles extensions génériques de domaines (et les IDN 17 ) pour piéger les victimes, des évolutions des techniques (recours plus important aux pièces jointes) et des scénarii d ingénierie sociale utilisés, ou encore face la généralisation des certificats SSL (sites accessibles en https) à moyen terme. Phishing Initiative poursuit son travail de lutte effective contre les campagnes de phishing toujours plus nombreuses. Différentes améliorations seront mises en œuvre pour augmenter le périmètre et les fonctionnalités associées, et raccourcir les délais de blocage avec les partenaires. De nouveaux partenariats sont ainsi en cours pour améliorer nos capacités de contribuer à la protection des Internautes en France, puis dans les autres pays partenaires du projet International Domain Names 23

24 EU-PI European Union anti-phishing Initiative Contribuez à la lutte contre le phishing en signalant les pages Web suspectes à l adresse : 24 Co-financé de l Union par le programme Européenne Prévenir et