supinfo
Ouverture de  SUPINFO USA à San Francisco en 2008. Des études en informatique en Californie à un tarif abordable ! Inscrivez-vous dès maintenant !
supinfo
Connexion :
Abonnement NewsletterOk
 

Microsoft donne son feu vert aux sites web sûrs

Publiée par Julien le Lundi 5 Fevrier 2007

Brève Windows

Logo Internet Explorer 7.0
Microsoft vient de procéder à des modifications sur ses serveurs pour mettre en place l'une des nouvelles fonctionnalités d'Internet Explorer 7.0 destinée à lutter contre les diverses attaques de phishing. Le changement devrait permettre aux sites webs réputés sûrs, et dotés d'un nouveau type de certificat de sécurité, d'afficher une barre d'adresses de couleur verte dans Internet Explorer 7.0. Microsoft devrait officiellement annoncer l'entrée en service de cette fonction lors de la prochaine conférence annuelle RSA se déroulant à San Francisco avec en ouverture un discours de Bill GATES décidément présent sur tous les fronts en ce moment.

Introduite avec Internet Explorer 7.0, la barre d'adresses colorée a pour but de prévenir les utilisateurs sur la nature de dangerosité d'un site. Lorsque celui-ci est connu pour être un site malveillant utilisé pour des attaques de phishing, la barre d'adresses devient rouge. Elle deviendra maintenant verte lorsque le site en question est réputé sûr (voir notre capture). Pour ce faire le site doit disposer d'un certificat dit EV SSL ou Extended Validation Certificate. Le standard EV SSL vise à permettre une meilleure identification des sites de confiance tout en se voulant plus fiable que la simple icône en forme de cadenas qui caractérise jusqu'à présent les connexions sécurisées.

Reste que l'EV SSL ne fait pas tout à fait l'unanimité puisqu'il est pour l'instant disponible uniquement pour les grandes entreprises, fermant de fait la porte aux petites entreprises naissantes. L'organisme CA Browser Forum, en charge de la définition des règles de l'EV SSL, dit travailler sur la question pour que tous les sites Internet légitimes aient accès au certificat.

Si Microsoft est le premier à adopter l'EV SSL avec Internet Explorer 7.0, la version 3.0 de Firefox devrait profiter de la prise en charge EV SSL. Toutefois la fondation Mozilla évalue encore la façon dont elle communiquerait à l'utilisateur les informations additionnelles provenant de ce certificat. Firefox 3.0 devrait voir le jour dans le courant du second semestre 2007 si tout va bien.

Internet Explorer 7.0 - Phishing
Actu précédente
Brève suivante
et pour votre ordinateur
Télécharger Messenger (gratuit)

Top logiciels Professionnel

1 CVitae
Rédiger son CV et gérer ses recherches d'emploi
2 Code-Barre Generator
Générateur de codes barre
3 PaieFie
Logiciel d'edition de fiche de paie
4 FactOOor
La facturation avec OpenOffice.org
5 Agenda Planning
Gérer le planning et les ressources humaines d'une entreprise
6 Factoure
Editer gratuitement des factures et devis
Suite du classement "Professionnel"
Les Commentaires des lecteurs
_
le 05 Févr. 07 à 09h33
Edition
 
Ah, voila une bien bonne nouvelle pour la securite globale du reseau. Mais l'adresse devient deja verte pour les sites https sous Firefox... cela ne me convaincra pas a revenir a IE 7
 
le 05 Févr. 07 à 09h33
Edition
 
TROLL ON
La barre d'adresse qui change de couleur est déjà utilisée par Firefox quand on se trouve sur un site sécurisé https. Avec le filtre anti-phishing je ne sais si elle change de couleurs. Mais bon cela ne représente pas une révolution en soit de la part d'IE.
TROLL OFF
 
le 05 Févr. 07 à 09h34
Edition
 
les autres browsers n'ont pas vraiment le choix, dommage pour Firefox (et son plugin TrustWatch) et pour Opera (avec sa vérification sur TrustWatch en natif), par exemple, mais ils vont sans doute devoir s'aligner sur ce nouveau procédé. Et dommage pour tous les utilisateurs, mais c'est la future cible des hackers. Espérons que la fonctionnalité n'ait pas de faille.
 
le 05 Févr. 07 à 09h38
Edition
 
Tiens pour une fois Internet Explorer a de l'avance sur firefox :paf:
 
le 05 Févr. 07 à 09h44
Edition
 
En parlant de Crosoft, aujourd'hui il y a la Keynote au MicrosoftTechDays un petit résumé serait pas mal :bounce:
 
le 05 Févr. 07 à 09h50
Edition
 
kernelpanic26 a écrit:
TROLL ON
La barre d'adresse qui change de couleur est déjà utilisée par Firefox quand on se trouve sur un site sécurisé https. Avec le filtre anti-phishing je ne sais si elle change de couleurs. Mais bon cela ne représente pas une révolution en soit de la part d'IE.
TROLL OFF


la nouveaute n'est pas le changement de couleur mais l'activation sur les serveurs d'une nouvelle certification.

a moins (je l'espere) que c'etait de l'humour (mais ce matin je suis pas d'humeur :grrr: )
 
le 05 Févr. 07 à 09h51
Edition
 
et moi pour aller sur la boite Email de mon IUT j'ai une grosse bare rouge par ce qu'IE n'aime pas le certificat de l'iut lol
 
le 05 Févr. 07 à 09h51
Edition
 
Suis-je le seul a ne pas trouver ce procédé forcement bon pour la sécurité ??

Ce n'est pas parce qu'un site utilise un certificat, qu'il est forcement "sûr" ...

Le site a beau utiliser tous les certificats du monde, s'il reste vulnérable a des failles de type "Sql Injection" ou "XSS" (cross site) le site n'en sera pas pour autant sécurisé.

Alors bon, c'est bien beau de protéger la transaction, si les données stockées sur le serveur sont visibles de tous ...
 
le 05 Févr. 07 à 09h55
Edition
 
Si y a une faille de sécurité dans le serveur on pourra passer outre ce gerne de choses et faire croire qu'on est sûr ...

je ne crois pas que cela soit une solution
 
le 05 Févr. 07 à 10h01
Edition
 
Bon pour les gens qui trollent :

La couleur de la barre verte correspond à la présence d'un certificat anti FISHING, pas juste jaune pour du htpps sous firefox. Donc sous IE7 la couelur verte signifie que le site à été certifié comme n'étant pas du FISHING. Parceque htpps ne signifie pas sûr, et que la présence certificat EV SSL ne garanti que contre le PHISHING et non contre des failles du serveurs.
 
le 05 Févr. 07 à 10h02
Edition
 
zebiloute a écrit:
Bon pour les gens qui trollent :

La couleur de la barre verte correspond à la présence d'un certificat anti FISHING, pas juste jaune pour du htpps sous firefox. Donc sous IE7 la couelur verte signifie que le site à été certifié comme n'étant pas du FISHING. Parceque htpps ne signifie pas sûr, et que la présence certificat EV SSL ne garanti que contre le PHISHING et non contre des failles du serveurs.


+1

Lisez la news avant de parler :'(

Clubic :'(
 
le 05 Févr. 07 à 10h06
Edition
 
motarion a écrit:
Si y a une faille de sécurité dans le serveur on pourra passer outre ce gerne de choses et faire croire qu'on est sûr ...
je ne crois pas que cela soit une solution

Pas con....
Une personne X refile ses coordonnées bancaires à un escroc sur site qui affiche une belle couleur verte d'après IE7 (site normalement vérifié et recensé comme étant sure), le compte de monsieur X est vidé, l'escroc s'est enfuit (ou vit dans un pays peu regardant sur ce type d'arnaque).
Qui va être attaqué en justice par monsieur X :
A : l'escroc qui ne sera jamais inquiété :neutre:
B : la banque qui va dégager sa responsabilité :na:
C : Microsoft pour avoir donné une information erronée qui a permis à un escroc de piquer le pognon de monsieur X :pt1cable:
Marrant je dirais C comme réponse. :ane:

Edit : les class-action c'est bon, mangez-en. :MDR
 
le 05 Févr. 07 à 10h07
Edition
 
Cerel a écrit:
Suis-je le seul a ne pas trouver ce procédé forcement bon pour la sécurité ??

Ce n'est pas parce qu'un site utilise un certificat, qu'il est forcement "sûr" ...

Le site a beau utiliser tous les certificats du monde, s'il reste vulnérable a des failles de type "Sql Injection" ou "XSS" (cross site) le site n'en sera pas pour autant sécurisé.

Alors bon, c'est bien beau de protéger la transaction, si les données stockées sur le serveur sont visibles de tous ...


Oui enfin on parle ici de fishing, avec un certificat distribué avec parcimonie, donc à priori à de gros organismes bancaires ou de paiement en ligne, qui (normalement) ont des serveurs ultra sécurisés :paf:
De plus c'est quand même bcp plus facile pour le hackeur de faire du fishing plutot que de chercher à s'introduire dans les sites de la banque ....
 
le 05 Févr. 07 à 10h10
Edition
 
Et comment ils comptent déclarer qu'un site est un site de phishing ? :/
Encore pour la barre verte de ceux qui sont (normalement) les vrais sites je comprends, mais pour la barre rouge j'ai plus de mal... (Vu qu'ils ne peuvent pas modifier le certificat "rouge" à distance)

A moins que ce ne soit encore une manoeuvre à but lucratif afin que tout le monde puisse acheter son petit certificat "EV SSL Barre verte", car si ils ne le font pas les internautes vont fuir leurs sites (roooooh mais qui penserais à ca hein ? :whistle: )
:MDR
 
le 05 Févr. 07 à 10h21
Edition
 
Aie aie aie, vive les trolls ! :riva:

On aurait dû s'en douter... ya marqué Microsoft dans la news... :pfff:

Le certificat n'est pas un "truc payant made in Microsoft", si vous lisez la news correctement, le certificat ce n'est pas MS qui s'en occupe... MS ne fait que l'utiliser avec IE7. :neutre:

Ensuite il ne faut pas confondre fishing et autres types de piratage. :neutre:

Pour finir, j'imagine que la barre rouge s'affiche lorsque le site en question est dans la "base de données des sites connus comme étant dangereux".
 
le 05 Févr. 07 à 10h34
Edition
 
du coup, les sites avec certificats vont être encore plus visés par les pirates !
ba oui, ils deviennent plus puissants, et potentiellement plus nocifs.
 
le 05 Févr. 07 à 10h35
Edition
 
Qu'est-ce que le phising alors ?

La couleur de cette barre sera seulement utile pour les sites bancaires, de gestion d'argent, de mails... Ceux qui utilisent déjà le HTTPS...

L'utilisateur en a aura rien à faire de voir sa barre verte sur 2 sites sur 500 qu'il visite...
La barre sera rouge si elle est pas verte ? lol Non elle restera blanche ou neutre...

Le phising fonctionne par mail principalement, je ne vois donc pas l'utilité du système...

Ensuite, l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens utilisés pour effectuer un hameçonnage et il est très souvent utilisé sur des serveurs piratés à l'insu de leurs administrateurs... cela sur donc sur des sites neutres. L'utilisateur ne verra donc aucun danger...

Le phising a de beaux jours devant lui...
 
le 05 Févr. 07 à 10h49
Edition
 
manu0086 a écrit:
Ensuite, l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens utilisés pour effectuer un hameçonnage et il est très souvent utilisé sur des serveurs piratés à l'insu de leurs administrateurs... cela sur donc sur des sites neutres. L'utilisateur ne verra donc aucun danger...

Le phising a de beaux jours devant lui...

Si tu pirates le site d'une banque référencée par IE7 comme sûr, alors tu as une barre verte mais tu files quand même tes accès bancaires à un escroc. :neutre:
Dans l'histoire c'est les daltoniens les plus heureux. :super:
Eux au moins ils seront pas emmerdée par ce "progrès". :paf:
 
le 05 Févr. 07 à 10h59
Edition
 
Debvi Eokh a écrit:
Si tu pirates le site d'une banque référencée par IE7 comme sûr, alors tu as une barre verte mais tu files quand même tes accès bancaires à un escroc.  :neutre:
Dans l'histoire c'est les daltoniens les plus heureux.  :super:
Eux au moins ils seront pas emmerdée par ce "progrès".  :paf:

Ce n'est pas ça le phising ! De plus, va donc pirater une banque...
Le phising, c'est simplement se faire passer pour quelqu'un/quelque chose qu'on n'est pas et soutirer des informations (login/mot de passe, carte bancaire...etc)

Par exemple, "Bonjour, je suis le développeur du forum de Clubic, nous avons perdu votre mot de passe, merci de vite l'envoyer à telle adresse sans quoi votre compte sera perdu".
C'est une technique vieille comme le monde qui s'est simplement adaptée à l'univers numérique...
 
Continuer sur le forum
24 messages
1
2
>
 
 
Clubic.com
 
Achetez-facile.com