109 - Lutter contre le phishing, pour pas cher (Quizz)

starbuck - 18.06.2009 | 7 réactions | #link | rss

Tag(s): commedansdubeurre

securite

ztic

authentification forte

phishing

quizz

Lors d'un meeting conseil pour la sécurité d'un portail e-banking, un client a posé la question sur les mesures qu'il pouvait mettre en place afin de lutter contre les attaques par phishing. De nombreuses mesures ont été proposées par les experts présents autour de la table, sauf une. Du coup, je me suis dit que j'allais un peu en parler.

Comme il est possible que vous ne compreniez pas de quoi il en retourne lorsque j'écris "phishing", j'en profiterai donc par commencer avec une brève introduction sur le sujet.

Le Phishing, c'est quoi?

Les attaques par phishing regroupent toutes les attaques visant à obtenir d'un utilisateur qu'il accorde sa confiance à un service qu'il croit légitime. Le phishing s'apparente à l'arnaque, il n'est pas toujours informatique.

Voici trois exemples d'attaques que l'on peut considérer de phishing:

Un homme portant un uniforme de policier et qui vous demande de lui présenter vos papiers d'identité et votre carte de crédit pour un contrôle de routine ;
Un email provenant de votre banque et vous demandant de vous connecter de toute urgence sur leur portail afin de vérifier que vous avez toujours votre argent sur votre compte ;
Vous vous inscrivez à un réseau social et il vous est demandé d'indiquer votre nom d'utilisateur et mot de passe de connexion à votre messagerie pour vous faciliter la mise en relation avec vos amis (par instinct de survie, je ne nommerai pas ce grand réseau social sur lequel plusieurs millions d'utilisateurs ont été piégés par cette fonctionnalité) ;
Etc.

Dans tous les cas de phishing, nous avons:

Soit, un 'client' qui ne vérifie pas l'identité de l'autorité ou institution à laquelle il s'adresse ;
Soit, un 'client' qui accorde une confiance trop élevée à un interlocuteur tiers sans motif réellement légitime ;

SSL et l'éducation: la réponse universelle

Sur le web, l'on a partiellement résolu le problème du phishing en proposant le protocole sécurisé TLS (plus connu sous le nom de SSL).

Une connexion établie avec un site web par le biais de ce protocole (le cadenas jaune dans le navigateur web) fournit l'assurance à l'internaute que:

1) Les données échangées sont chiffrées (dont son numéro de carte de crédit) lors de leur transfert entre le client et le serveur.
2) Les données échangées ne sont pas modifiées en cours de route par un éventuel tiers se trouvant à mi-chemin.
3) Le service auquel il s'adresse est légitime.

Le grand problème ici réside dans cette troisième clause: l'authentification de l'interlocuteur. Les utilisateurs ont tendance à se moquer des avertissements des navigateurs leur disant que l'authenticité d'une connexion SSL n'a pu être totalement vérifiée. Du coup, la connexion est bel et bien sécurisée, mais est établie avec le mauvais interlocuteur. En bref: c'est un peu comme si nous allions déposer plainte auprès de l'homme qui vient de nous cambrioler, alors qu'il s'est déguisé en policier!

Du coup, les institutions tentent d'apprendre à leurs utilisateurs comment discerner une connexion SSL 100% vérifiée d'une connexion SSL ne garantissant pas l'authenticité de l'interlocuteur. C'est aussi lors de ces activités que l'on dit à l'utilisateur qu'il ne doit jamais cliquer sur un lien trouvé dans un email par exemple.

Cela s'appelle la sensibilisation. Mais là aussi, les entreprises sont embêtées: les pirates sont extrêmement astucieux dans leur façon de solliciter leurs clients et reproduisent des sites d'apparence quasi-équivalente à l'original. Les utilisateurs sont piégés.

Les mesures anti-phishing

La liste ci-dessous recense les mesures qui ont été proposées lors de la séance: (par souci éthique envers mes lecteurs, je ne m'enfoncerai pas dans les considérations techniques)

Utiliser un lien sécurisé (SSL)
Eduquer les utilisateurs
Forcer le lien sécurisé (SSL)
Prier une autorité divine
Utiliser SSL...PAF! (déjà proposé!)
Eduquer les utilis...PAF! (déjà proposé!)
Utiliser l'authentification fort...PAF! (oui, mais non.)
...

Voilà. C'est à peu près tout ce que l'on envisage aujourd'hui en matière de lutte contre le phishing. L'avant-dernier élément de la liste a peut être attiré votre attention: "l'authentification forte." Pourquoi un "PAF"?

Pourquoi authentification fort...PAF?

L'authentification forte est en plein essor, c'est un fait. Si vous ne savez pas de quoi il s'agit: une authentification est dite "forte" lorsque l'on utilise plus d'un facteur pour s'authentifier. Les e-bankings (suisses, en tous cas, ce n'est pas encore partout le cas) par exemple, exigent un mot de passe + un code qui n'est diffusé que par un objet que l'on est le seul à détenir, cela fait deux facteurs.

L'authentification forte a (enfin) franchi le palier des grandes banques et commence son petit bout de chemin sur des marchés moins exposés à la divulgation de données sensibles mais tout autant désagréables pour le particulier lorsque son compte est piraté. Qu'il s'agisse de s'authentifier sur la messagerie de l'université, de remplir une demande de vacances dans l'intranet de l'entreprise ou encore de simplement démarrer sa voiture: l'authentification forte est en train de se répandre.

Le problème avec l'authentification forte est qu'elle apporte une grande protection dans l'infrastructure de l'interlocuteur légitime. Ça, elle le fait particulièrement bien!

En revanche, l'authentification forte n'aide généralement pas l'utilisateur à reconnaître le vrai du faux: qu'il s'agisse par exemple du vrai site de l'UBS ou d'un site monté de toute pièce, l'utilisateur moyen sortira sa calculette et entrera son code, sans réellement se poser les bonnes questions.

Des mécanismes d'authentification descendante (le client vérifie l'identité de son prestataire et non l'inverse) ont récemment fait l'apparition, tels que la clé USB ZTIC (Zone Trusted Information Channel, anciennement Zurich Trusted Information Channel).

Bien qu'ils soient capables d'authentifier le service auquel l'on souhaite accéder, ces dispositifs resteront encore pour quelques temps réservés à une certaine 'élite'.

Je m'arrête là sur cette question, si l'authentification forte vous passionne déjà et que vous souhaitez en manger au petit déjeuner, je vous recommande la lecture du blog d'un expert sur la question.

Bon. Assez parlé. Ou en étions-nous? Ah oui! Le phishing!

savez-vous reconnaître le vrai du faux?

Lutter contre le phishing: une mesure pas chère pour monter la barre bien plus haut

Le principe fondamental qui rend le phishing si efficace est que l'utilisateur ne dispose d'aucun moyen lui permettant de vérifier l'authenticité de son interlocuteur sans faire usage d'un bagage technique et d'une méfiance à toute épreuve.

Pourtant, nous savons tous comment obtenir la preuve de l'identité de notre interlocuteur.

Considérez le scénario suivant:

Vous êtes en discussion avec votre chèr(e) et tendre sur une messagerie instantanée. Soudain vous êtes atteint d'un doute: il se peut que vous ne discutiez pas avec votre âme soeur mais bel et bien avec son patron, qui a de fortes tendances à s'incruster dans la vie privée de ses employés.

Comment procédez-vous pour vérifier son identité?

Simple: vous posez une question à laquelle seule cette personne connaît la réponse.

Simplissime n'est-ce pas? D'ailleurs, ça l'est tellement que les banques reproduisent ce mécanisme: elles demandent au client de s'authentifier en répondant à une question à laquelle lui seul peut répondre, son mot de passe.

Pourquoi ne pas reproduire ce schéma dans l'autre sens?

1) L'utilisateur se connecte au site de sa banque.
2) Il s'authentifie en fournissant son mot de passe.
3) La banque le reconnaît.
4) A son tour, l'utilisateur demande à la banque un secret. Cette demande peut être tacite, déclenchée sans intervention de l'utilisateur.
5) Le site de la banque affiche un secret, ou une image, que l'utilisateur a préalablement définie.
6) Si l'utilisateur reconnaît son secret, il dispose d'un élément de preuve supplémentaire indiquant qu'il s'adresse bel et bien au site légitime.

Ainsi organisé, l'utilisateur a donc un moyen de vérifier de manière très simple qu'il s'adresse bel et bien à la seule autorité détenant la connaissance ultime de l'un de ses secrets.

Mais...

La faiblesse de ce modèle (QUIZZ)

Comme je l'ai précisé, en gras, dans le titre du précédent paragraphe: la barre est montée plus haut qu'avant. Elle n'a cependant toujours pas atteint le sommet!

En effet, nous n'avons toujours pas la preuve que l'on s'adresse bel et bien à la bonne porte. Pourquoi? A vous de répondre!

La question du quizz

Pourquoi l'utilisateur ne peut-il toujours pas être certain qu'il s'adresse au bon site web, même lorsque ce dernier lui affiche un secret que seul l'instance légitime connaît?

Si vous trouvez la première réponse, je vous demanderai également en quoi peut-on considérer que le niveau de sécurité a été augmenté?

A vos claviers!

Pour la curiosité, voici les liens vers les pages de conseils "anti-phishing" proposées par nos banques de la région:

Autres liens cités:

Les réactions à cet article:

Sylvain Maret, 19.06.2009 01:11

Effectivement c'est pas facile de lutter contre le fishing. Il y a maintenant Twitter avec ces URL courtes. C'est tellement facile de cliquer sur un lien d'une personne de Twitter. Et hop on est sur un site avec du code malicieux.

Ça m'est arrivé il y a une semaine... Et oui ! Heureusement mon Anti-Virus n'était pas content.

Mais il peut arriver une autre fois que l'on tombe sur le site avec un code malicieux de type Zero Day. Et la l'anti-virus est impuissant....

Alors comment se protéger de ces attaques inconnu?

Un début de réponse expliquer dans un article de 2001... (Antivirus : une
technologie obsolète?)

http://www.e-xpertsolutions.com/images/pdf/Article-AV-HIPS.pdf

Malheureusement peux d'Anti Virus travaille en mode HIPS de type analyse de comportement.

Grande Harmonie, 30.07.2009 09:54

Quand vous allez faire vos courses je suppose que vous savez ce que vous allez acheter ? si votre réponse et non, inutile de lire plus loin, c'est du hors sujet pour vous.
Donc vous avez un but précis. Et vous êtes suffisamment attentif à ce que vous devez faire pour ne pas vous laisser tenter par les têtes de gondole ? si votre réponse est non, inutile de lire plus loin, c'est du hors sujet pour vous.
Bon, donc vous savez ce que vous voulez et pourquoi vous êtes ici et votre choix est clair et réfléchi.
Vous êtes protégé contre le pishing dans ce cas, puisque votre vigilance est active en permanence.

Si vous allez vous "balader" sur interent, face de cake et compagnie, c'est ÉVIDENT que vous risquez de vous faire accrocher, comme quand vous allez dans les quartiers chauds de PARIS et que vous êtes dans une foule d'inconnus !

Ce qui est ABSOLUMENT NÉCESSAIRE, c'est de RESTER TOUJOURS ATTENTIF ET VIGILANT.

Et il n'y a que votre cerveau qui puisse le faire ! avec tout le BON SENS dont vous disposez !

Et prenez bien soin de vous !

GG, 13.10.2009 12:21

@Grande Harmonie : ce n'est pas une solution au phishing car l'éducation ne fera jamais tout ... le but du jeu aujourd'hui est de trouver justement une solution pour que les gens qui n'y connaissent rien ou peu ou mal en informatique/internet ne se fassent plus avoir.

Pour moi, donner le moyen à l'utilisateur de pouvoir faire la différence entre un vrai et un faux site n'est pas non plus la solution. Il y aura toujours des gens qui cliqueront là où il ne faut pas.

Pourquoi ne pas ajouter au mécanisme d'authentification manuelle de l'utilisateur (login/password/OTP), une authentification transparente (pour l'utilisateur) par un certificat électronique client stocké sur le PC, ou bien sur une clé USB, ou bien sur son téléphone portable dans le cas d'un achat par mobile (un peu comme pour le paiement des impôts).

starbuck, 21.10.2009 14:40

@gg
La leçon est pourtant là: aujourd'hui, seules deux techniques permettent de faire la différence:
* L'authentification de la banque par l'être humain, lorsqu'elle lui prouve son identité en lui montrant un secret qu'elle seule connaît;

* L'authentification du commerçant par la banque, lorsqu'elle utilise un second canal de communication, totalement indépendant de la connexion internet à partir de laquelle la transaction est demandée. Tel est le cas des codes de confirmation envoyés par SMS par exemple.

Tout dispositif technologique installé dans l'un des composants du canal à travers lequel a lieu une transaction par un particulier est hautement exposé à une intrusion.

L'installation des certificats sur le poste client ou la clé USB n'auront pour seul effet de retarder quelque peu les pirates afin qu'ils adaptent leurs outils. Pour rappel, cela reviendrait à répéter la même erreur dont nous faisons les frais aujourd'hui: inscrire un serveur DNS dans les réglages réseaux et pré-installer les autorités de certification reviennent exactement à ce que vous proposez.

GG, 21.10.2009 17:27

@startbuck
L'authentification de la banque par le client (question secrète ...) n'empêchera toujours pas le phisher d'envoyer un email au client lui demandant seulement son login/password.

L'authentification mutuelle par SSL permet au moins d'éviter le phishing et les attaques MitM mais effectivement ne pourra rien contre les attaques directement sur le PC (malware, MitB ...). Pour cela, il reste la technique du 2nd canal.

starbuck, 22.10.2009 08:45

@gg
Le fait d'associer une mesure de sécurité à un besoin différent de celui auquel elle répond initialement est une erreur très fréquente dans la sécurisation de systèmes d'information.

Comme la mesure proposée n'a pas pour but d'empêcher les attaques par phishing mais de permettre aux utilisateurs attentifs de les détecter, vous avez raison dans votre affirmation mais...il faut préciser que vous auriez de toute manière eu raison. ;)

Je ne comprends toutefois pas dans quelle mesure une authentification mutuelle par SSL permettrait de contrer les attaques de phishing, pourriez-vous détailler votre proposition?

GG, 22.10.2009 10:41

@startbuck
En fait, je parle simplement d'authentification mutuelle par certificat client / certificat serveur. Tant que le client est le seul à posséder sa clé privé, il est le seul à pouvoir prouver son identité et donc être authentifié. Tant que serveur et client sont les seuls à posséder respectivement leur propre clé privée, les attaques MitM sont sans effet. Une banque qui utilise ce procédé permet donc d'éviter que le phisher vienne s'authentifier sur le site de la banque à la place du client car le phisher ne peut pas récupérer la clé privé client. Je me trompe ?

Par contre, il reste les attaques Man-in-the-Browser (MitB) qui s'interposent entre les mécanismes de sécurité SSL du browser et le client. Pour ces attaques, l'authentification mutuelle n'y peut rien. 2 solutions : l'utilisation du 2nd canal (SMS sur le mobile) ou bien utilisation d'une clé USB embarquant de quoi recréer et déporter les mécanismes TCP/IP/SSL dans un élément hardware sûr et indépendant du PC.

comme dans du beurre Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles
109 - Lutter contre le phishing, pour pas cher (Quizz) starbuck - 18.06.2009 \| 7 réactions \| #link \| rss Tag(s): commedansdubeurre securite ztic authentification forte phishing quizz Lors d'un meeting conseil pour la sécurité d'un portail e-banking, un client a posé la question sur les mesures qu'il pouvait mettre en place afin de lutter contre les attaques par phishing. De nombreuses mesures ont été proposées par les experts présents autour de la table, sauf une. Du coup, je me suis dit que j'allais un peu en parler. Comme il est possible que vous ne compreniez pas de quoi il en retourne lorsque j'écris "phishing", j'en profiterai donc par commencer avec une brève introduction sur le sujet. Le Phishing, c'est quoi? Les attaques par phishing regroupent toutes les attaques visant à obtenir d'un utilisateur qu'il accorde sa confiance à un service qu'il croit légitime. Le phishing s'apparente à l'arnaque, il n'est pas toujours informatique. Voici trois exemples d'attaques que l'on peut considérer de phishing: Un homme portant un uniforme de policier et qui vous demande de lui présenter vos papiers d'identité et votre carte de crédit pour un contrôle de routine ; Un email provenant de votre banque et vous demandant de vous connecter de toute urgence sur leur portail afin de vérifier que vous avez toujours votre argent sur votre compte ; Vous vous inscrivez à un réseau social et il vous est demandé d'indiquer votre nom d'utilisateur et mot de passe de connexion à votre messagerie pour vous faciliter la mise en relation avec vos amis (par instinct de survie, je ne nommerai pas ce grand réseau social sur lequel plusieurs millions d'utilisateurs ont été piégés par cette fonctionnalité) ; Etc. Dans tous les cas de phishing, nous avons: Soit, un 'client' qui ne vérifie pas l'identité de l'autorité ou institution à laquelle il s'adresse ; Soit, un 'client' qui accorde une confiance trop élevée à un interlocuteur tiers sans motif réellement légitime ; SSL et l'éducation: la réponse universelle Sur le web, l'on a partiellement résolu le problème du phishing en proposant le protocole sécurisé TLS (plus connu sous le nom de SSL). Une connexion établie avec un site web par le biais de ce protocole (le cadenas jaune dans le navigateur web) fournit l'assurance à l'internaute que: 1) Les données échangées sont chiffrées (dont son numéro de carte de crédit) lors de leur transfert entre le client et le serveur. 2) Les données échangées ne sont pas modifiées en cours de route par un éventuel tiers se trouvant à mi-chemin. 3) Le service auquel il s'adresse est légitime. Le grand problème ici réside dans cette troisième clause: l'authentification de l'interlocuteur. Les utilisateurs ont tendance à se moquer des avertissements des navigateurs leur disant que l'authenticité d'une connexion SSL n'a pu être totalement vérifiée. Du coup, la connexion est bel et bien sécurisée, mais est établie avec le mauvais interlocuteur. En bref: c'est un peu comme si nous allions déposer plainte auprès de l'homme qui vient de nous cambrioler, alors qu'il s'est déguisé en policier! Du coup, les institutions tentent d'apprendre à leurs utilisateurs comment discerner une connexion SSL 100% vérifiée d'une connexion SSL ne garantissant pas l'authenticité de l'interlocuteur. C'est aussi lors de ces activités que l'on dit à l'utilisateur qu'il ne doit jamais cliquer sur un lien trouvé dans un email par exemple. Cela s'appelle la sensibilisation. Mais là aussi, les entreprises sont embêtées: les pirates sont extrêmement astucieux dans leur façon de solliciter leurs clients et reproduisent des sites d'apparence quasi-équivalente à l'original. Les utilisateurs sont piégés. Les mesures anti-phishing La liste ci-dessous recense les mesures qui ont été proposées lors de la séance: (par souci éthique envers mes lecteurs, je ne m'enfoncerai pas dans les considérations techniques) Utiliser un lien sécurisé (SSL) Eduquer les utilisateurs Forcer le lien sécurisé (SSL) Prier une autorité divine Utiliser SSL...PAF! (déjà proposé!) Eduquer les utilis...PAF! (déjà proposé!) Utiliser l'authentification fort...PAF! (oui, mais non.) ... Voilà. C'est à peu près tout ce que l'on envisage aujourd'hui en matière de lutte contre le phishing. L'avant-dernier élément de la liste a peut être attiré votre attention: "l'authentification forte." Pourquoi un "PAF"? Pourquoi authentification fort...PAF? L'authentification forte est en plein essor, c'est un fait. Si vous ne savez pas de quoi il s'agit: une authentification est dite "forte" lorsque l'on utilise plus d'un facteur pour s'authentifier. Les e-bankings (suisses, en tous cas, ce n'est pas encore partout le cas) par exemple, exigent un mot de passe + un code qui n'est diffusé que par un objet que l'on est le seul à détenir, cela fait deux facteurs. L'authentification forte a (enfin) franchi le palier des grandes banques et commence son petit bout de chemin sur des marchés moins exposés à la divulgation de données sensibles mais tout autant désagréables pour le particulier lorsque son compte est piraté. Qu'il s'agisse de s'authentifier sur la messagerie de l'université, de remplir une demande de vacances dans l'intranet de l'entreprise ou encore de simplement démarrer sa voiture: l'authentification forte est en train de se répandre. Le problème avec l'authentification forte est qu'elle apporte une grande protection dans l'infrastructure de l'interlocuteur légitime. Ça, elle le fait particulièrement bien! En revanche, l'authentification forte n'aide généralement pas l'utilisateur à reconnaître le vrai du faux: qu'il s'agisse par exemple du vrai site de l'UBS ou d'un site monté de toute pièce, l'utilisateur moyen sortira sa calculette et entrera son code, sans réellement se poser les bonnes questions. Des mécanismes d'authentification descendante (le client vérifie l'identité de son prestataire et non l'inverse) ont récemment fait l'apparition, tels que la clé USB ZTIC (Zone Trusted Information Channel, anciennement Zurich Trusted Information Channel). Bien qu'ils soient capables d'authentifier le service auquel l'on souhaite accéder, ces dispositifs resteront encore pour quelques temps réservés à une certaine 'élite'. Je m'arrête là sur cette question, si l'authentification forte vous passionne déjà et que vous souhaitez en manger au petit déjeuner, je vous recommande la lecture du blog d'un expert sur la question. Bon. Assez parlé. Ou en étions-nous? Ah oui! Le phishing! savez-vous reconnaître le vrai du faux? Lutter contre le phishing: une mesure pas chère pour monter la barre bien plus haut Le principe fondamental qui rend le phishing si efficace est que l'utilisateur ne dispose d'aucun moyen lui permettant de vérifier l'authenticité de son interlocuteur sans faire usage d'un bagage technique et d'une méfiance à toute épreuve. Pourtant, nous savons tous comment obtenir la preuve de l'identité de notre interlocuteur. Considérez le scénario suivant: Vous êtes en discussion avec votre chèr(e) et tendre sur une messagerie instantanée. Soudain vous êtes atteint d'un doute: il se peut que vous ne discutiez pas avec votre âme soeur mais bel et bien avec son patron, qui a de fortes tendances à s'incruster dans la vie privée de ses employés. Comment procédez-vous pour vérifier son identité? Simple: vous posez une question à laquelle seule cette personne connaît la réponse. Simplissime n'est-ce pas? D'ailleurs, ça l'est tellement que les banques reproduisent ce mécanisme: elles demandent au client de s'authentifier en répondant à une question à laquelle lui seul peut répondre, son mot de passe. Pourquoi ne pas reproduire ce schéma dans l'autre sens? 1) L'utilisateur se connecte au site de sa banque. 2) Il s'authentifie en fournissant son mot de passe. 3) La banque le reconnaît. 4) A son tour, l'utilisateur demande à la banque un secret. Cette demande peut être tacite, déclenchée sans intervention de l'utilisateur. 5) Le site de la banque affiche un secret, ou une image, que l'utilisateur a préalablement définie. 6) Si l'utilisateur reconnaît son secret, il dispose d'un élément de preuve supplémentaire indiquant qu'il s'adresse bel et bien au site légitime. Ainsi organisé, l'utilisateur a donc un moyen de vérifier de manière très simple qu'il s'adresse bel et bien à la seule autorité détenant la connaissance ultime de l'un de ses secrets. Mais... La faiblesse de ce modèle (QUIZZ) Comme je l'ai précisé, en gras, dans le titre du précédent paragraphe: la barre est montée plus haut qu'avant. Elle n'a cependant toujours pas atteint le sommet! En effet, nous n'avons toujours pas la preuve que l'on s'adresse bel et bien à la bonne porte. Pourquoi? A vous de répondre! La question du quizz Pourquoi l'utilisateur ne peut-il toujours pas être certain qu'il s'adresse au bon site web, même lorsque ce dernier lui affiche un secret que seul l'instance légitime connaît? Si vous trouvez la première réponse, je vous demanderai également en quoi peut-on considérer que le niveau de sécurité a été augmenté? A vos claviers! Pour la curiosité, voici les liens vers les pages de conseils "anti-phishing" proposées par nos banques de la région: Le phishing, vu par l'UBS Le phishing, vu par la BCG Le phishing, vu par la BCV Le phishing, vu par le Crédit Suisse Autres liens cités: Zurich (Zone) Trusted Information Channel blog 'La Citadelle électronique' Les réactions à cet article: Sylvain Maret, 19.06.2009 01:11 Effectivement c'est pas facile de lutter contre le fishing. Il y a maintenant Twitter avec ces URL courtes. C'est tellement facile de cliquer sur un lien d'une personne de Twitter. Et hop on est sur un site avec du code malicieux. Ça m'est arrivé il y a une semaine... Et oui ! Heureusement mon Anti-Virus n'était pas content. Mais il peut arriver une autre fois que l'on tombe sur le site avec un code malicieux de type Zero Day. Et la l'anti-virus est impuissant.... Alors comment se protéger de ces attaques inconnu? Un début de réponse expliquer dans un article de 2001... (Antivirus : une technologie obsolète?) http://www.e-xpertsolutions.com/images/pdf/Article-AV-HIPS.pdf Malheureusement peux d'Anti Virus travaille en mode HIPS de type analyse de comportement. Grande Harmonie, 30.07.2009 09:54 Quand vous allez faire vos courses je suppose que vous savez ce que vous allez acheter ? si votre réponse et non, inutile de lire plus loin, c'est du hors sujet pour vous. Donc vous avez un but précis. Et vous êtes suffisamment attentif à ce que vous devez faire pour ne pas vous laisser tenter par les têtes de gondole ? si votre réponse est non, inutile de lire plus loin, c'est du hors sujet pour vous. Bon, donc vous savez ce que vous voulez et pourquoi vous êtes ici et votre choix est clair et réfléchi. Vous êtes protégé contre le pishing dans ce cas, puisque votre vigilance est active en permanence. Si vous allez vous "balader" sur interent, face de cake et compagnie, c'est ÉVIDENT que vous risquez de vous faire accrocher, comme quand vous allez dans les quartiers chauds de PARIS et que vous êtes dans une foule d'inconnus ! Ce qui est ABSOLUMENT NÉCESSAIRE, c'est de RESTER TOUJOURS ATTENTIF ET VIGILANT. Et il n'y a que votre cerveau qui puisse le faire ! avec tout le BON SENS dont vous disposez ! Et prenez bien soin de vous ! GG, 13.10.2009 12:21 @Grande Harmonie : ce n'est pas une solution au phishing car l'éducation ne fera jamais tout ... le but du jeu aujourd'hui est de trouver justement une solution pour que les gens qui n'y connaissent rien ou peu ou mal en informatique/internet ne se fassent plus avoir. Pour moi, donner le moyen à l'utilisateur de pouvoir faire la différence entre un vrai et un faux site n'est pas non plus la solution. Il y aura toujours des gens qui cliqueront là où il ne faut pas. Pourquoi ne pas ajouter au mécanisme d'authentification manuelle de l'utilisateur (login/password/OTP), une authentification transparente (pour l'utilisateur) par un certificat électronique client stocké sur le PC, ou bien sur une clé USB, ou bien sur son téléphone portable dans le cas d'un achat par mobile (un peu comme pour le paiement des impôts). starbuck, 21.10.2009 14:40 @gg La leçon est pourtant là: aujourd'hui, seules deux techniques permettent de faire la différence: * L'authentification de la banque par l'être humain, lorsqu'elle lui prouve son identité en lui montrant un secret qu'elle seule connaît; * L'authentification du commerçant par la banque, lorsqu'elle utilise un second canal de communication, totalement indépendant de la connexion internet à partir de laquelle la transaction est demandée. Tel est le cas des codes de confirmation envoyés par SMS par exemple. Tout dispositif technologique installé dans l'un des composants du canal à travers lequel a lieu une transaction par un particulier est hautement exposé à une intrusion. L'installation des certificats sur le poste client ou la clé USB n'auront pour seul effet de retarder quelque peu les pirates afin qu'ils adaptent leurs outils. Pour rappel, cela reviendrait à répéter la même erreur dont nous faisons les frais aujourd'hui: inscrire un serveur DNS dans les réglages réseaux et pré-installer les autorités de certification reviennent exactement à ce que vous proposez. GG, 21.10.2009 17:27 @startbuck L'authentification de la banque par le client (question secrète ...) n'empêchera toujours pas le phisher d'envoyer un email au client lui demandant seulement son login/password. L'authentification mutuelle par SSL permet au moins d'éviter le phishing et les attaques MitM mais effectivement ne pourra rien contre les attaques directement sur le PC (malware, MitB ...). Pour cela, il reste la technique du 2nd canal. starbuck, 22.10.2009 08:45 @gg Le fait d'associer une mesure de sécurité à un besoin différent de celui auquel elle répond initialement est une erreur très fréquente dans la sécurisation de systèmes d'information. Comme la mesure proposée n'a pas pour but d'empêcher les attaques par phishing mais de permettre aux utilisateurs attentifs de les détecter, vous avez raison dans votre affirmation mais...il faut préciser que vous auriez de toute manière eu raison. ;) Je ne comprends toutefois pas dans quelle mesure une authentification mutuelle par SSL permettrait de contrer les attaques de phishing, pourriez-vous détailler votre proposition? GG, 22.10.2009 10:41 @startbuck En fait, je parle simplement d'authentification mutuelle par certificat client / certificat serveur. Tant que le client est le seul à posséder sa clé privé, il est le seul à pouvoir prouver son identité et donc être authentifié. Tant que serveur et client sont les seuls à posséder respectivement leur propre clé privée, les attaques MitM sont sans effet. Une banque qui utilise ce procédé permet donc d'éviter que le phisher vienne s'authentifier sur le site de la banque à la place du client car le phisher ne peut pas récupérer la clé privé client. Je me trompe ? Par contre, il reste les attaques Man-in-the-Browser (MitB) qui s'interposent entre les mécanismes de sécurité SSL du browser et le client. Pour ces attaques, l'authentification mutuelle n'y peut rien. 2 solutions : l'utilisation du 2nd canal (SMS sur le mobile) ou bien utilisation d'une clé USB embarquant de quoi recréer et déporter les mécanismes TCP/IP/SSL dans un élément hardware sûr et indépendant du PC. Cliquez pour ajouter votre commentaire	Vous souhaitez me contacter? cliquez-ici Les Quiz en cours Lutter contre le phishing pour pas cher Derniers articles · 203 - Firefox: la suite d'outils de tests d'intrusion contenait une backdoor · 202 - Plainte de la Federal Trade Commission contre Twitter · 201 - OWASP Appsec Research 2010 Stockholm – Jour 2 · 200 - OWASP Appsec Research 2010 Stockholm - Jour 1 · 199 - Nouveaux défis de la sécurité informatique en entreprise: les "téléphones sociaux" · 198 - Facebook ne gagnerait pas plus d'argent lorsque les utilisateurs partagent plus? · 197 - SuisseID: ils font même de la pub AdSense! · 196 - Départ de l'entreprise: peut-on garder contact avec ses collègues sur les réseaux sociaux? · 195 - Le coût de Facebook pour l'économie suisse (réflexion simpliste) · 194 - La sécurité de l'information dans la publicité Rubriques Actualité Analyses Billets techniques Hors sujet Autour du même sujet Bruno Kerouanton Sylvain Maret Data breaches chronology Hackersblog project HITB Intelligentzia - Stéphane Koch Peter Fleisher Secunews.be Sid Swiss security blog Terra Incognita Uditis Forensic - Stéphane Droxler Zythom, expert judiciaire Vision 360 degrés Acerberos Le Scal Lexgva Ouvertures.info Recherche articles réactions Me contacter
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch

Le Phishing, c'est quoi?

SSL et l'éducation: la réponse universelle

Les mesures anti-phishing

Pourquoi authentification fort...PAF?

Lutter contre le phishing: une mesure pas chère pour monter la barre bien plus haut

La faiblesse de ce modèle (QUIZZ)

Les réactions à cet article:

Les Quiz en cours

Derniers articles

Rubriques

Autour du même sujet

Vision 360 degrés

Recherche