Phishing massif contre les webmails en Tunisie

Ce soir couscous de e-poissons ? 47
Le très bon blog technologique ReadWriteWeb a publié ce matin un article écrit par Slim Amamou, informaticien tunisien militant pour la liberté d'expression sur le web. Cet article décrit les attaques de phishing que subissent depuis quelques semaines les internautes tunisiens voulant se connecter à un compte Gmail.

Le mode opératoire de ces attaques laisse à penser que les pirates ont un certain contrôle sur les infrastructures réseau du pays. Mais le militant n'accuse pas le gouvernement ou l'armée tunisienne. Ils ne sont pourtant pas de grands défenseurs de la liberté d'expression, mais M. Amamou ne tient pas à passer les prochains mois hébergé à l'ombre aux frais dudit gouvernement. Aussi dans son article considère-t-il un autre suspect : la CIA (bizarrement aucune mention des Chinois) ou alors le KGB. A moins que ce ne soit la NSA.

L'informaticien a découvert la machination de la "CIA" en tentant de se connecter à son compte Gmail, pour découvrir des erreurs EasyPHP. Le fait que Gmail utilise cette solution semble hautement improbable.

gmail phishing

Après avoir vérifié que ce site ne fonctionne pas, que le problème n'était pas causé par un malware et qu'il était répandu dans tout le pays, la conclusion logique est que ce Gmail est un faux. Il a été créé dans le cadre d'une campagne de phishing.

Mais puisque l'URL s'affiche correctement, et que même l'adresse IP est la bonne, « pour réaliser une telle opération, il faut un contrôle total du réseau en Tunisie, des câbles jusqu’au protocole HTTP. [...] La méthode de la CIA serait donc de bloquer l’accès sécurisé à Gmail afin que les Tunisiens soient obligés d’y accéder en mode non sécurisé, de les détourner vers une machine faisant tourner un faux Gmail sous EasyPHP, pour leur voler leur mot de passe et ainsi prendre possession de leur compte mail ». En effet, une tentative de connexion en HTTPS renvoie une page d'erreur.

Grâce à d'autres éléments accumulés dans son enquête, le militant tunisien affirme : « J’ai entre temps reçu la preuve que cette opération dure depuis des mois, certaines personnes affirmant que cela fait plusieurs années que cela est en place. Un conseil : changez vos mots de passe, le FBI vous espionne (ou la DST, encore une fois, rien ne permet d’incriminer la CIA plus qu’autre chose) ».

D'autres sites victimes de ces attaques

Sur son compte Twitter, Slim Amamou se fait aussi l'écho depuis la publication de sa tribune de tentatives similaires contre YahooMail, Hotmail et Facebook :

hotmail phishing

facebook phishing

Pour éviter ces attaques, Slim Amamou recommande de laisser passer la tempête, ces tentatives durant en général 5 minutes avant que tout redevienne normal.

Google de son côté a réagi à l'article en recommandant à ses utilisateurs de toujours utiliser une connexion sécurisée en HTTPS : « Nous encourageons tous les utilisateurs à utiliser HTTPS, qui offre une protection contre le ‘packet sniffing‘ et d’autres tentatives destinées à surveiller et manipuler le trafic réseau. Si vous ne pouvez accéder momentanément à Gmail en utilisant HTTPS, attendez quelques minutes avant de recommencer à nouveau », et de changer le mot de passe si votre compte a pu être compromis.
Par Jeff Publiée le 29/06/2010 à 16:30 - Source : Merci à Eupalynos