Sécurité : vers une nouvelle forme de Phishing...

Pas de doute à ce sujet, les arnaques par méthode Phishing (voir notre dossier sécurité : Dossier sécurité : Spam et Phishing) ont défrayé la chronique en 2005. Aujourd'hui, avec le développement des nouvelles formes de phishing, ce fléau numérique pourrait bien jouir d'une nouvelle et bien triste popularité en 2006.
Ainsi, aux Etats-Unis les experts en sécurité s'inquietent de voir se développer de nouveaux « faux sites Web » de banques liées au phishing et capables de s'approprier des codes d'identification temporaires. Ces nouveaux faux sites demandent effectivement aux internautes trompés de fournir le code d'identification temporaire qui leur a été fourni par leur banque et qui n'est valable que l'espace d'une courte période. Une fois ces informations fournies par la « victime », les responsables du « faux site » en question utiliseraient le code pour s'identifier sur le vrai site de la banque de l'utilisateur.
Ces dernières semaines, plus de 35 sites de phishing utilisant cette technique auraient été recensé par les spécialistes de Netcraft, lesquels précisent que « cela n'est pas un incident isolé, ce n'est pas simplement une preuve de concept ou l'utilisation d'une faille unique
».
D'autres spécialistes se veulent toutefois plus rassurant et précise que les sites exploitant une « double identification » (mot de passe non limité dans le temps et mot de passe temporaire, utilisable une seule fois) restent une excellente parade face aux chevaux de Troie, même s'ils ne sont pas infaillibles, surtout lorsque « les clés » sont fournies « maladroitement » par l'utilisateur lui-même... Une fois de plus, la vigilance, la prévention et l'information restent les meilleures armes pour combattre et éviter les arnaques par voie de phishing.

Lire cette brève sur le site

Suffit d'utiliser correctement son navigateur et ne pas transformer son PC en passoire sans grille, et tout va bien :D

Il faudrait que les sites sensibles (banques, ...) utilisent des certificats électroniques... ca rendrait le fishing bien plus difficile.

C'est aussi à l'utilisateur de ne pas être crédule.

PColis a écrit:
Il faudrait que les sites sensibles (banques, ...) utilisent des certificats électroniques... ca rendrait le fishing bien plus difficile.

Ben ça existe déjà : toutes les banques (LCL, ...) utilisent des certificats ...

Comment veux-tu empêcher la naïveté des gens ? Il paraît que plus de la moitié des français est se connecte à l'internet. Mais peu le maîtrisent. Normal, ils sont pas informaticiens de base (au contraire de la plupart des lecteurs de clubic)

Moi je suis tellement parano que maintenant quand il s'agit de payement ou autre je tape toujours un faux mot de passe pour tester avant de mettre le vrai :ane:

luchy666 a écrit:
C'est aussi à l'utilisateur de ne pas être crédule.

Oui mais c'est plus difficile d'éduquer les utilisateurs crédules que d'utiliser des certificats électriniques :ange:

Internet a le mérite de sensibiliser les gens à ce genre de tours. Le social Engineering piège les sociétés par téléphone, et tout le monde est susceptible de se faire avoir, personne n'aura la vigilance de se méfier.

Nous sommes éduqués de plus en plus contre le phishing, c'est déjà un bon point. De toute façon, nous n'arrêterons pas les gens de vouloir être malhonnêtes. Autant vivre avec et s'éduquer contre.

ohno a écrit:
Ben ça existe déjà : toutes les banques (LCL, ...) utilisent des certificats ...

Comment veux-tu empêcher la naïveté des gens ? Il paraît que plus de la moitié des français est se connecte à l'internet. Mais peu le maîtrisent. Normal, ils sont pas informaticiens de base (au contraire de la plupart des lecteurs de clubic)

:non: pas toutes les banques :(

Le certificat electronique permet à la banque d'être sur de qui tu es et, à toi, d'être sur que c'est effectivement ta banque.
Dans ces conditions, même un utilisateur crédule ne peut se faire avoir.

Edit : le défaut de ce système est "l'effort" qu'il faut faire au début pour obtenir son certificat (cf. imposition par internet)

PColis a écrit:
:non: pas toutes les banques  :(

Le certificat electronique permet à la banque d'être sur de qui tu es et, à toi, d'être sur que c'est effectivement ta banque.
Dans ces conditions, même un utilisateur crédule ne peut se faire avoir.

Edit : le défaut de ce système est "l'effort" qu'il faut faire au début pour obtenir son certificat (cf. imposition par internet)

Oui tu sans sans doute raison : mais je me base sur les grandes banques de détail classiques : crédit lyonnais, bnp, SG, crédit agricole. Peut-être que les plus petites banques n'ont pas de site en https et donc pas besoin de certif serveur. Honte à eux !

Par contre attention : les banques n'ont, à ma connaissance, jamais émis la nécessité d'identifier le client par un certif client. Pour l'instant le simple user/password suffit. Pas de besoin de certif client donc. Peut-être le faut-il. Mais d'une part c'est une galère (pour les non informaticiens) pour l'avoir...quoique pour les impôts on n'y arrive bien... Et d'autre part, c'est valable *que* sur l'ordi sur lequel tu es. Si tu changes de pc, il faut recommencer.

ohno a écrit:
Oui tu sans sans doute raison : mais je me base sur les grandes banques de détail classiques : crédit lyonnais, bnp, SG, crédit agricole. Peut-être que les plus petites banques n'ont pas de site en https et donc pas besoin de certif serveur. Honte à eux !

Par contre attention : les banques n'ont, à ma connaissance, jamais émis la nécessité d'identifier le client par un certif client. Pour l'instant le simple user/password suffit. Pas de besoin de certif client donc. Peut-être le faut-il. Mais d'une part c'est une galère (pour les non informaticiens) pour l'avoir...quoique pour les impôts on n'y arrive bien... Et d'autre part, c'est valable *que* sur l'ordi sur lequel tu es. Si tu changes de pc, il faut recommencer.

Je pense que toute les banques sont en https mais ceci n'est pas suffisant... lorsque je parlais de certificats électronique, je parlais effectivement de "certificats client" comme pour le paiement des impots.

Les impots ont mis pas mal de temps à avoir un truc "fiable" mais c'est, me semble-t'il, la solution la plus sure mais également la plus pénible à mettre en place :/

L'interêt d'avoir le site de ta banque en https ?
Puisqu'on parle de phishing, les clients qui se font avoir ne seront pas sur le site de leur banque mais sur une copie !
Alors tu peux mettre du https super extra sécurisé, ca changera rien au problème.

Dalai-Lama a écrit:
L'interêt d'avoir le site de ta banque en https ?
Puisqu'on parle de phishing, les clients qui se font avoir ne seront pas sur le site de leur banque mais sur une copie !
Alors tu peux mettre du https super extra sécurisé, ca changera rien au problème.

Tu peux associer un site à un certificat mais faut-il encore que ce certificat soit certifié valide par un organisme de certification reconnu et surtout que ce soit effectivement le certificat de ta banque sinon ca ne sert à rien...

Edit : mais si le site de fishing emet un certificat valide et reconnu, l'auteur du site risque de ce faire chopper rapidement ;)

lutherkingmartin a écrit:
Moi je suis tellement parano que maintenant quand il s'agit de payement ou autre je tape toujours un faux mot de passe pour tester avant de mettre le vrai  :ane:

S'pas con ça. Si c'est une arnaque, le mot de passe réel n'est pas connu, donc le mot de passe bidon va être accepté... Enfin je crois ^^'

ohno a écrit:
Ben ça existe déjà : toutes les banques (LCL, ...) utilisent des certificats ...

Comment veux-tu empêcher la naïveté des gens ? Il paraît que plus de la moitié des français est se connecte à l'internet. Mais peu le maîtrisent. Normal, ils sont pas informaticiens de base (au contraire de la plupart des lecteurs de clubic)

Etre utilisateur, et savoir utilisé un pc pour moi c pas etre informaticien, la plus part du temps il suffit de lire les instructions... avoir un cerveau + essayer de comprendre !

Moi j'adore les gens kand il me disent : mais je comprend pas je suis pas informaticien... k'alors c plutot je comprend pas et g pas envi de comprendre, les personnes c de plus en plus des assistés...

Après c vrai y'a des gens ki s'interessent pas et c pas du tout leur truc... Mais quand tu veux conduire t'apprend avant...

cameleon68100 a écrit:
Etre utilisateur, et savoir utilisé un pc pour moi c pas etre informaticien, la plus part du temps il suffit de lire les instructions... avoir un cerveau + essayer de comprendre !

Moi j'adore les gens kand il me disent : mais je comprend pas je suis pas informaticien... k'alors c plutot je comprend pas et g pas envi de comprendre, les personnes c de plus en plus des assistés...

Après c vrai y'a des gens ki s'interessent pas et c pas du tout leur truc... Mais quand tu veux conduire t'apprend avant...

C'est clair : tu veux utiliser un pc --> tu apprends ou tu renonces
mais faut pas essayer de l'utiliser sans savoir

Je travaille dans un magasin d'informatique et le nombre de newbies qui ont des problèmes avec leur pc est ...affolant....en plus des trucs bidons dont la logique seule permet de trouver la réponse.

affligeant....on préfère venir quémander plutôt que d'essayer de se démerder par soi-même et ce ne sont pas toujours les plus désoeuvrés qui viennent se plaindre loin de là...

la plupart du temps ce sont des bourgeois qui n'ont jamais pris la peine de travailler de leur vie alors s'il faut commencer à faire des efforts pour se servir d'une machine...ils ne sont pas d'accord alors c'est les premiers à venir demander qu'un technicien aille chez eux pour mettre leurs cartouches dans leur imprimante....

Grave.....

> Après c vrai y'a des gens ki s'interessent pas et c pas du tout leur truc... Mais quand tu veux conduire t'apprend avant...

C'est pas pareil. Pour avoir le droit de conduire, il faut un permis.

Or tu n'as pas besoin d'examen spécifique pour utiliser un frigo, une machine à laver ou un magnétoscope.
Ça fait 10 ans que les vendeurs nous rebattent les oreilles en disant que l'informatique c'est simple et que tout le monde peut s'y mettre.

Or ce n'est pas tout à fait vrai. Il y a une foule de notions à appréhender pour comprendre ce que fait un ordinateur ( Qu'est-ce qu'un bureau, executable IE ≠ Internet…), mais beaucoup de monde ne veut pas appréhender ses notion, parce qu'elles devraient être inutiles pour se servir d'un ordinateur comme de n'importe quel autre outil: je clique, ça marche, point.

Bref, tout ça pour dire que la faute repose plus sur les vnedeurs que sur les acheteurs, qui ont réussi à faire croire au grand public que l'informatique était facile pour tout le monde.

PS : Ne me faites pas dire ce que je n'ai pas dit. Je ne veux pas que les ordis soent uniquenet réservé aux gens qui savent s'en servir, ce serait un gros retour en arrière, mais simplement qu'on arrète de faire croire aux gens qu'un ordi est facile à utiliser et que ça ne pose jamais de soucis.

PColis a écrit:
Tu peux associer un site à un certificat mais faut-il encore que ce certificat soit certifié valide par un organisme de certification reconnu et surtout que ce soit effectivement le certificat de ta banque sinon ca ne sert à rien...

Edit : mais si le site de fishing emet un certificat valide et reconnu, l'auteur du site risque de ce faire chopper rapidement  ;)

Mais pourquoi le site de fishing aurait-il besoin d'un certificat ? :heink:

Dalai-Lama a écrit:
Mais pourquoi le site de fishing aurait-il besoin d'un certificat ? :heink:

Ben s'il n'en a pas, il sera moins/pas crédible... faudrait par contre que l'utilisateur soit informé en permanance de la présence d'un certificat.

Y a qu'a choisir une banque Suisse et tu as une carte à puce avec un lecteur à la maison et comme ça pas de problème.