WELCOME TO THE
EU-PI PROJECT BLOG

EU-PI : rapport d’activité n°1 – France

31/03/2015
Phishing-Initiative

Vous trouverez ci-dessous le résumé exécutif de notre rapport d’activité n°1 au format PDF en suivant ce lien: EU-PI_FR_rapport-n1-S2-2014. Il couvre le premier semestre de Août 2014 à Janvier 2015.

===

Dans le cadre du projet européen EU-PI, l’association Phishing Initiative France, fondée en 2011 par Microsoft, PayPal et LEXSI, a poursuivi lors des 6 derniers mois (août 2014 – janvier 2015) son activité de collecte, vérification et blocage des signalements d’adresses Web suspectes. Ces URL ont été reçues de milliers d’Internautes français victimes de tentatives de phishing et des principaux ayants droit dont l’identité est usurpée dans ces attaques.

Plus de 40 000 URL uniques ont été soumises et analysées par les experts du CERT-LEXSI, dans les 30 minutes suivant le signalement.
Parmi ces adresses suspectes, plus de 60% participaient effectivement après investigation à une campagne de phishing et ont donc été transmises aux éditeurs de solutions opérant les listes noires incluses par défaut dans les principaux navigateurs Web récents (Internet Explorer, Chrome, Safari et Firefox). La liste noire « SmartScreen Filter » est ainsi activée par défaut au sein d’Internet Explorer depuis sa version 8.

Sur la période, ce sont ainsi plus de 25 000 adresses frauduleuses distinctes et actives au moment de notre analyse, qui ont été détectées. Il demeure cependant complexe de mesurer le nombre exact de campagnes de phishing distinctes qui ont été lancées, du fait de plusieurs facteurs (à la hausse mais aussi à la baisse) à prendre en compte dans la méthodologie de calcul.

Parmi les URL confirmées, la très grande majorité était accessibles via le protocole http et seules 3,5% l’étaient via https. Dans ces cas de figure, il s’agissait pour un cas sur deux de sites compromis configurés avec un certificat SSL. Seuls quelques dizaines de certificats frauduleux ont effectivement été identifiés.

5% des URL étaient composées sans nom d’hôte, mais directement joignables depuis une adresse IP. 13 000 noms d’hôtes différents ont été identifiés et ceux- ci résolvaient vers plus de 7 000 adresses IP différentes utilisées pour héberger ces contenus. La moitié de ces adresses IP étaient associées à des classes d’adresses appartenant en majorité à des prestataires d’hébergement (notamment américains). Moins de 5% des cas étaient hébergés sur une adresse IP déclarée comme « française ».

Les plus grands volumes d’URL se concentrent naturellement chez les plus « gros » hébergeurs. Mais de fortes disparités existent dès lors que le ratio d’URL incriminé est ramené aux nombres d’adresses IP annoncées par chacun de ces prestataires. «L’efficacité» des prestataires en matière de lutte contre le phishing peut donc dès lors varier fortement.

Les noms de domaines exploités étaient par ailleurs déposés au sein de 190 extensions de domaines différentes. Mais dans près de la moitié des cas sur un domaine en « .com », loin devant des domaines en « .fr » (7%). Les nouvelles extensions génériques de domaines autorisées par l’ICANN depuis octobre 2013 ne représentent à ce stade qu’une infime part des extensions de domaines utilisées dans les adresses détectées (1 pour 1000 environ).

Les adresses frauduleuses étaient localisées en majorité sur des sites légitimes compromis, mais une recrudescence de l’enregistrement de domaines spécifiquement par les fraudeurs pour mener leurs attaques est constatée ces derniers mois voire années.

La sensibilisation des Internautes demeure insuffisante, puisque le phishing continue de faire des centaines de milliers de victimes chaque année, et que les pirates font évoluer leurs stratégies. Vu les enjeux que représente la confiance dans l’économie numérique pour la France et l’Union Européenne en général, le besoin de limiter les impacts financiers et sociaux du phishing est toujours plus fort.

La Commission Européenne soutient ainsi notre initiative « EU-PI », qui promeut la mobilisation citoyenne des Internautes pour signaler au plus vite les contenus suspectés de participer à des tentatives de phishing.
Le projet vise également à faciliter la coordination entre les différentes organisations du secteur public et privé (éditeurs de solutions logicielles et de services de cybersécurité, fournisseurs d’accès à Internet, ayant- droits, forces de l’ordre, etc.) à même et ayant pour intérêt de lutter contre le phénomène du phishing.