LCL touché à son tour par le phishing

©2006 20 minutes

— 

Après la Société générale, BNP-Paribas, le CIC et le CCF il y a un peu plus de six mois, c'est désormais LCL (ex-Crédit Lyonnais) qui vient de mettre ses clients en garde contre une tentative de phishing qui vise actuellement son site Web

Ce type d'attaque, qui n'affectait au départ que les gros sites marchands comme eBay ou les services de paiement électronique comme Visa ou PayPal, touche maintenant de plus en plus souvent les banques françaises qui offrent des services de gestion de compte en ligne

Le phishing, aussi appelé « hameçonnage », est une escroquerie en ligne de plus en plus répandue qui consiste à tromper l'internaute pour qu'il communique ses données bancaires personnelles sur un site Internet factice

Les adeptes du phishing envoient habituellement des courriers électroniques à un grand nombre de victimes potentielles

Ces courriers invitent à cliquer un lien vers une page Web qui semble faire partie d'une banque en ligne ou d'un commerçant connu, mais qui, en réalité, va collecter les informations confidentielles que vous fournirez pour les communiquer à un escroc

Dans le cas de LCL, certains internautes vont recevoir ou ont déjà reçu un courrier électronique frauduleux leur demandant de « donner leur avis sur un nouveau système de protection pour renforcer la sécurité des clients sur Internet »

Le mail propose de cliquer sur un lien menant à un faux site LCL

Là, on est invité à remplir un formulaire avec ses codes d'accès personnels à LCL (identifiant et mot de passe) et son adresse électronique

Une fois collectées, ces informations permettront à l'attaquant d'accéder à vos comptes en ligne

Sur son site officiel, LCL rappelle qu'il « n'envoie jamais d'e-mail demandant de cliquer sur un lien, pour saisir des données d'identification, aux services de gestion de comptes »

En outre, la banque indique qu'à « réception de tels messages, il convient simplement de les détruire sans aucune autre action

Même un simple clic sur un lien contenu dans un message frauduleux peut confirmer au pirate l'exactitude de l'adresse de courrier électronique du destinataire

» De manière générale, il ne faut jamais fournir par mail la moindre information confidentielle, a fortiori des mots de passe ou des codes d'accès

Yaroslav Pigenet