Les « détournements de page html », le plus proche équivalent Internet du « faux et usage de faux », pourrait bien se chiffrer en plusieurs dizaines de milliards de dollars. Shawna McAlearney, du Security Search, s'est mise à compiler les études les plus récentes sur le sujet. Il apparaît que les attaques uniques par phishing progressent de110 % par mois, et que le phénomène, de manière générale, et mesuré sur une période de 6 mois, de novembre 2003 à avril 2004, a crû de plus de 4 000 %.

Les membres même de l' Anti-Phishing Working Group (APWG) estiment qu'au moins 5% des personnes recevant un de ces emails bidons « marchent à fond » dans la combine et se font extorquer des données importantes... l'APWG ne chiffre pas en valeur ses propres estimations, hélas. Une étude Symantec, quand à elle, pense que 30 % des internautes sont déjà habitués à ce phénomène (ndlr : 30 % seulement ???). Une troisième étude du Gartner se montre bien plus précise : En 2003, 57 millions de citoyens américains ont reçu un email de phishing, 11 millions d'entre eux ont suivi le lien indiqué sur la page, et un peu moins de 2 millions de personnes ont entré leur mot de passe confidentiel ou leur numéro de carte de crédit. Précisons que le bug « url spoofing » est relativement récent... de nos jours, la proportion doit être bien plus importante.

Moins « statistique », plus « technique », le Phishing Guide publié par NGSS, l'entreprise des fameux chasseurs de faille David et Mark Litchfield. Un dossier très complet, très clair, illustré, bref, 42 pages de solides explications techniques sur le pourquoi, le comment des escroqueries de ce type, ainsi que les parades envisageables. Il faut préciser, comme le fait remarquer l'auteur Gunter Ollmann, qu'une bonne partie de l'attaque est de nature purement psychologique. Et là, le problème ne se limite pas à un simple déploiement de rustine. Doit-on encore insister sur le fait que ce type de détournement n'est pas seulement un moyen d'escroquer une personne physique ? L'image de marque de l'entreprise dont le logo a été pris en otage, son crédit, voir la confiance envers son éventuel service d'information ou de transaction « en ligne » risquent d'en pâtir énormément. Encore un « livre blanc » que l'on aimerait voir traduit par le Clusif ou... le Cert ist.

Du phishing au scam, il n'y a qu'un pas. Les procédés sont d'ailleurs tellement proches que bien souvent, les études associent ces deux types d'escroqueries utilisant la messagerie électronique pour se propager. Nos confrères du Register s'interrogent sur les liens possibles entre les mécanismes de la mafia nigérianes spécialisée dans le détournement d'argent et les possibles filières de financement des réseaux terroristes musulmans fondamentalistes. Il est de toute manière établi que plusieurs grosses opérations de phishing profitent aux organisations mafieuses russes, lesquelles ont également maille à partir avec les réseaux de trafic de drogue et les organisations politiques extrémistes. L'hypothèse du « canal historique russe » est de toute manière plus plausible et plus solide que celle des nigérians, banquiers d'Al Quaida ou du PKK.

. Web-profils.com, la place de marché du conseil et de l'ingénierie