WELCOME TO THE
EU-PI PROJECT BLOG

Phishing-Initiative – Luxembourg inauguré pendant l’ICTSpring Europe 2015

26/05/2015
Phishing-Initiative

Ce mardi et mercredi avaient lieu au Nouveau Centre de Conférence le plus important événement de l’année autour des technologies de l’information au Luxembourg : ICTSpring Europe 2015. Cet événement a rassemblé plusieurs milliers de décideurs et entrepreneurs du monde entier, actifs dans le numérique, l’innovation technologique, la finance, etc.

ICTSPRING_HOME

Consultez l’agenda de l’événement

C’est pour rappeler à ce public à l’origine des produits et services en ligne de demain l’importance de la protection de l’utilisateur et de ses données, que les membres du projet EU-PI ont décidé de se réunir et inaugurer la plateforme en ligne développée pour contribuer à la lutte contre le phishing.

Sept organisations publiques et privées de France, du Luxembourg et des Pay-Bas se sont en effet associées en 2014 pour initier ce projet cofinancé par la Commission Européenne. Le Ministère de l’Economie du Luxembourg et son GIE SMILE comptent parmi les partenaires du projet.

ICTSPRING_7

 

« L’application Web, accessible depuis notre site, permet à tout internaute de signaler facilement un lien suspicieux, en particulier l’adresse d’une page Web reçue dans un courrier non sollicité et suspectée de participer à une attaque par phishing » , explique Vincent Hinderer, en charge de la coordination du projet.
Le site sera analysé par des algorithmes et des experts spécialisés et si confirmé frauduleux, transmis instantanément aux partenaires techniques pour l’ajouter aux listes noires de sites de phishing utilisées par les principaux navigateurs pour alerter les utilisateurs d’un danger.

ICTSPRING_PI

A l’occasion d’une première table-ronde, le fonctionnement du phishing a été rappelé par Bernard Ourghanlian, CTO et CSO de Microsoft France : « Il s’agit d’une menace très répandue, visant tant les particuliers que les organisations publiques et privées, qui permet à un attaquant d’obtenir de la part des victimes la divulgation d’informations personnelles et/ou confidentielles telle que des identifiants d’accès, des coordonnées bancaires, etc. ».
Jérome Robert de LEXSI, société indépendante française et spécialiste européen de la lutte contre le phishing, détaille quelques uns des nombreux scénarios utilisés pour tromper l’internaute : pseudo-remboursement d’un trop payé d’impôts, faux échec du paiement d’une facture d’électronique ou de téléphonie, soi-disant mise à jour nécessaire de coordonnées pour des raisons de sécurité, etc.

Les notifications par e-mail en provenance des principaux réseaux sociaux représentent aussi des opportunités pour les cybercriminels de mener des campagnes de phishing efficaces. Ce type de phishing est parfois exploité pour viser des individus spécifiques, pour lesquels un message personnalisé est configuré. « On parle alors de spear-phishing (phishing ciblé) », précise Hendrik Schimmelpenninck van der Oye de l’entreprise néerlandaise Fox-IT, membre de l’European CyberSecurity Group (ECSG). Cette menace spécifique expose les administrations et entreprises à des incidents potentiellement très graves, en matière d’espionnage économique en particulier.

ICTSPRING_RT1

C’est pour cela que le CIRCL.lu a développé et mis en ligne en début d’année, dans le cadre du projet EU-PI, une interface Web publique baptisée « URL Abuse » vérifiant la dangerosité d’une URL. Alexandre Dulaunoy, du CIRCL, a présenté les différentes vérifications effectuées et les indicateurs utilisés pour qualifier la dangerosité des adresses soumises. « L’analyse prend quelques secondes et les résultats sont affichés au sein de l’interface Web avec un code couleur permettant à l’utilisateur d’appréhender le niveau de risque calculé pour l’adresse URL soumise. »

ITSPRING_UA

Jean-Dominique Nollet, chef du laboratoire de recherches et de sciences légales du European CyberCrime Center (EC3) à Europol, a ensuite synthétisé les actions entreprises, les objectifs, les moyens et priorités de cette unité de l’agence européenne dédiée à la lutte contre la cybercriminalité. Les atouts et problématiques rencontrées par Europol ont été discutés, en mettant l’accent sur les procédures, les initiatives et innovations et leur retour sur investissement.

La deuxième table ronde était animée par le manager de SMILE, Pascal Steichen, et réunissait 3 experts provenant de différents partenaires du projet : Europol EC3, s21sec -société espagnole de cybersécurité et membre du consortium européen ECSG- et Signal Spam, association française à but non lucratif oeuvrant contre le spam).
Jose Aleman de s21sec a présenté des cas concrets et exemples d’attaques originales, mettant en scène d’autres mécanismes de communication et en particulier la voix sur IP et les SMS. « La solution au phishing nécessite une meilleure sensibilisation du public et ce dès le plus jeune âge, mais également auprès de certaines populations comme les développeurs ou les chefs de projet, afin que la problématique de sécurité soit inclue bien plus en amont et bien plus régulièrement dans tout nouveau produit. »

Signal-Spam a également partagé son opinion et ses expériences de terrain en matière de partenariat public-privé, de messages et d’échanges de données relatives à des attaques cybercriminelles.

ICTSPRING_RT2

Les experts ont tous martelé l’impérieuse nécessité de mettre en place des collaborations effectives entre organisations publiques, privées, et publiques-privées.
La cybersécurité est l’affaire de tous et représente un enjeux majeur pour nos sociétés toujours plus connectées et dépendantes des technologies liées à Internet. Dans ce cadre, EU-PI permet aux citoyens de contribuer à un Internet plus sûr pour eux et pour les autres, mais aussi de favoriser la sensibilisation du grand public.
Le fléau du phishing doit être combattu sous différents angles (répressif, technique, communication et sensibilisation, etc.), mais toujours avec une approche pragmatique !

Parlez-en autour de vous et (DITES) NON AU PHISHING !! 

Pour plus d’informations sur le projet : phishing-initiative.eu
Pour signaler des adresses suspectes (+ circl.lu/urlabuse)