Les internautes suisses ne les remarquent sans doute presque plus. Perdus dans un flot toujours plus important de spams, les e-mails répertoriés comme «phishing» sont pourtant en forte augmentation. Le principe est bien connu: envoyer à de supposés clients de banques ou de sites tel eBay un message leur demandant d'aller immédiatement consulter un site où ils devront communiquer leurs données personnelles... pour ensuite se faire dévaliser leur compte. Les dernières statistiques sont impressionnantes: en un an, le nombre de faux sites étant du phishing a quadruplé, passant de 2560 à 9715 en janvier 2006, selon l'association Anti-Phishing Working Group. Ils restent en ligne en moyenne cinq jours. Le nombre de sociétés visées - les plus nombreuses attaques concernent Citibank ou eBay - est passé de 64 à 101. Sans surprise, 92% de ces sociétés sont actives dans le domaine financier.

Mais il y a plus inquiétant que ces faux sites. Cliquer sur une adresse web entraîne de plus en plus souvent, à l'insu de l'internaute, le téléchargement d'un petit programme (keylogger) qui enregistrera les informations tapées sur son clavier par la victime, et les enverra aux pirates. En janvier, l'association Anti-Phishing Working Group a dénombré 184 de ces programmes, actifs sur 1100 adresses web.

Le phishing coûterait 1,5 milliard de dollars en 2005 selon la société de recherche Gartner, soit nettement plus qu'en 2004 (690 millions). Les banques suisses sont relativement épargnées par ce phénomène, les dernières attaques en date ayant touché, sans dégât, PostFinance. «Les systèmes de e-banking utilisés en Suisse sont de plus en plus sûrs, raison pour laquelle il y a peu de tentatives de phishing», estime Philippe Oechslin, chargé de cours et chercheur au Laboratoire de sécurité et de cryptographie de l'EPFL, et fondateur de la société Objectif Sécurité.

Pourquoi le phishing, pourtant devenu «populaire» il y a cinq ans, fait-il toujours des dégâts? D'abord, certains internautes restent bien naïfs. D'après une étude menée par trois étudiants des universités de Harvard et Berkeley, neuf internautes sur dix ne sont pas capables de remarquer la différence entre un courriel légitime et un frauduleux. Ils ne font pas assez attention à l'orthographe de l'URL - ce qui n'est d'ailleurs même pas une garantie. «Je pense que même si les internautes sont globalement plus avertis du phishing, le nombre de pirates augmente, affirme Philippe Oechslin. Certains spammeurs, alléchés par les gains possibles, se sont sans doute mis au phishing.»

Ensuite, les pirates s'améliorent. Ils effectuent des attaques en deux temps, en gagnant par exemple la confiance de la victime avec un premier e-mail l'avertissant d'une tentative de phishing, avant de lui demander ses coordonnées... Ils utilisent de plus en plus de keyloggers, qui viennent d'ailleurs d'être détectés dans une tentative de phishing liée à la Coupe du monde de football.

Comment lutter contre ce fléau? L'internaute peut appliquer quelques précautions de base (lire ci-dessous), mais il est un peu seul dans son combat. Certes, Microsoft annonçait fin mars qu'il comptait lancer plus d'une centaine d'actions en justice contre les auteurs de phishing. Les navigateurs web deviennent plus sûrs, «mais des pirates continueront à exploiter leurs vulnérabilités», prédit Philippe Oechslin.