Les dégâts du ‘phishing’ surévalués ? Et qui va payer ?

Sporadique en Europe, plus menaçant au Brésil et visant principalement les Etats-Unis, le ‘phishing’ ? ‘scam’ d’e-mails (e-mail dont l’adresse d’origine ou l’expéditeur sont usurpés) qui renvoient vers des sites contrefaits pour inciter l’internaute à y déposer ses coordonnées bancaires ? représente une menace sérieuse et évolue à un rythme exponentiel.

Rien que pour les Etats-Unis, la fraude aurait généré une perte financière, sommes détournées et charges bancaires, estimée par les experts, comme TRUSTean ou NACHA à environ 500 millions de dollars pour 2004. Mais, évoluant à contre courant, la société TowerGroup, dans une étude qu’elle vient de publier, a estimé que les pertes engendrées par les attaques de phishing par e-mail ne seraient que de 137 millions de dollars. Selon Beth Robertson, senior analyste de TowerGroup, le phénomène du phishing ne toucherait qu’une très petite partie de la population des internautes, serait clairement assimilé au spam donc majoritairement détruit avant de faire effet, et aurait été largement surévalué par les autres études ! Pourtant, TowerGroup reconnaît que durant l’année 2004, les techniques de phishing ont évolué vers plus de sophistication – avec en particulier l’association de ‘malwares’, des logiciels téléchargeables qui scannent les pratiques de l’internaute, repèrent les coordonnées bancaires saisies et les transmettent aux hackers – et que la menace augmente rapidement. La firme aurait identifié 31.000 attaques, un chiffre qui serait porté à 86.000 en 2005. Plus surprenant, et inquiétant pour les consommateurs, TowerGroup affirme que le coût de la gestion des pertes liées au phishing est ‘nettement plus important‘ que le coût directe de la fraude elle-même. Cette affirmation est pour le moins ambiguë? En effet, on pourrait considérer qu’il serait plus rentable de laisser faire que de lutter, à l’image de certains industriels qui préfèrent laisser sur le marché des produits par certains aspects défectueux, plutôt que de financer des retours en usine pour réparer ! Mais TowerGroup veut aussi intégrer dans son étude le coût difficilement chiffrable de la perte de confiance du client, et surtout de la perte d’image pour les institutions victimes de la fraude. Au final, ce coût induit par les détournements de fonds devra bien être affecté sur un budget, et qui paiera ? Le consommateur, comme d’habitude !