starbuck http://commedansdubeurre.ch/?p=200906181735598 Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles FutureBlogs/0.8.6 fr
-------------------------
@startbuck
En fait, je parle simplement d'authentification mutuelle par certificat client / certificat serveur. Tant que le client est le seul à posséder sa clé privé, il est le seul à pouvoir prouver son identité et donc être authentifié. Tant que serveur et client sont les seuls à posséder respectivement leur propre clé privée, les attaques MitM sont sans effet. Une banque qui utilise ce procédé permet donc d'éviter que le phisher vienne s'authentifier sur le site de la banque à la place du client car le phisher ne peut pas récupérer la clé privé client. Je me trompe ?

Par contre, il reste les attaques Man-in-the-Browser (MitB) qui s'interposent entre les mécanismes de sécurité SSL du browser et le client. Pour ces attaques, l'authentification mutuelle n'y peut rien. 2 solutions : l'utilisation du 2nd canal (SMS sur le mobile) ou bien utilisation d'une clé USB embarquant de quoi recréer et déporter les mécanismes TCP/IP/SSL dans un élément hardware sûr et indépendant du PC.]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200910221041536 http://commedansdubeurre.ch?p=200906181735598#comments Thu, 22 Oct 2009 08:41:53 GMT Url: http://commedansdubeurre.ch

-------------------------
@gg
Le fait d'associer une mesure de sécurité à un besoin différent de celui auquel elle répond initialement est une erreur très fréquente dans la sécurisation de systèmes d'information.

Comme la mesure proposée n'a pas pour but d'empêcher les attaques par phishing mais de permettre aux utilisateurs attentifs de les détecter, vous avez raison dans votre affirmation mais...il faut préciser que vous auriez de toute manière eu raison. ;)


Je ne comprends toutefois pas dans quelle mesure une authentification mutuelle par SSL permettrait de contrer les attaques de phishing, pourriez-vous détailler votre proposition?]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200910220845377 http://commedansdubeurre.ch?p=200906181735598#comments Thu, 22 Oct 2009 06:45:37 GMT
-------------------------
@startbuck
L'authentification de la banque par le client (question secrète ...) n'empêchera toujours pas le phisher d'envoyer un email au client lui demandant seulement son login/password.

L'authentification mutuelle par SSL permet au moins d'éviter le phishing et les attaques MitM mais effectivement ne pourra rien contre les attaques directement sur le PC (malware, MitB ...). Pour cela, il reste la technique du 2nd canal.]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200910211727090 http://commedansdubeurre.ch?p=200906181735598#comments Wed, 21 Oct 2009 15:27:08 GMT Url: http://commedansdubeurre.ch

-------------------------
@gg
La leçon est pourtant là: aujourd'hui, seules deux techniques permettent de faire la différence:
* L'authentification de la banque par l'être humain, lorsqu'elle lui prouve son identité en lui montrant un secret qu'elle seule connaît;

* L'authentification du commerçant par la banque, lorsqu'elle utilise un second canal de communication, totalement indépendant de la connexion internet à partir de laquelle la transaction est demandée. Tel est le cas des codes de confirmation envoyés par SMS par exemple.


Tout dispositif technologique installé dans l'un des composants du canal à travers lequel a lieu une transaction par un particulier est hautement exposé à une intrusion.

L'installation des certificats sur le poste client ou la clé USB n'auront pour seul effet de retarder quelque peu les pirates afin qu'ils adaptent leurs outils. Pour rappel, cela reviendrait à répéter la même erreur dont nous faisons les frais aujourd'hui: inscrire un serveur DNS dans les réglages réseaux et pré-installer les autorités de certification reviennent exactement à ce que vous proposez.]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200910211440152 http://commedansdubeurre.ch?p=200906181735598#comments Wed, 21 Oct 2009 12:40:15 GMT
-------------------------
@Grande Harmonie : ce n'est pas une solution au phishing car l'éducation ne fera jamais tout ... le but du jeu aujourd'hui est de trouver justement une solution pour que les gens qui n'y connaissent rien ou peu ou mal en informatique/internet ne se fassent plus avoir.

Pour moi, donner le moyen à l'utilisateur de pouvoir faire la différence entre un vrai et un faux site n'est pas non plus la solution. Il y aura toujours des gens qui cliqueront là où il ne faut pas.

Pourquoi ne pas ajouter au mécanisme d'authentification manuelle de l'utilisateur (login/password/OTP), une authentification transparente (pour l'utilisateur) par un certificat électronique client stocké sur le PC, ou bien sur une clé USB, ou bien sur son téléphone portable dans le cas d'un achat par mobile (un peu comme pour le paiement des impôts).]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200910131221580 http://commedansdubeurre.ch?p=200906181735598#comments Tue, 13 Oct 2009 10:21:58 GMT Url: http://harmoniuniverselle.free.fr

-------------------------
Quand vous allez faire vos courses je suppose que vous savez ce que vous allez acheter ? si votre réponse et non, inutile de lire plus loin, c'est du hors sujet pour vous.
Donc vous avez un but précis. Et vous êtes suffisamment attentif à ce que vous devez faire pour ne pas vous laisser tenter par les têtes de gondole ? si votre réponse est non, inutile de lire plus loin, c'est du hors sujet pour vous.
Bon, donc vous savez ce que vous voulez et pourquoi vous êtes ici et votre choix est clair et réfléchi.
Vous êtes protégé contre le pishing dans ce cas, puisque votre vigilance est active en permanence.

Si vous allez vous "balader" sur interent, face de cake et compagnie, c'est ÉVIDENT que vous risquez de vous faire accrocher, comme quand vous allez dans les quartiers chauds de PARIS et que vous êtes dans une foule d'inconnus !

Ce qui est ABSOLUMENT NÉCESSAIRE, c'est de RESTER TOUJOURS ATTENTIF ET VIGILANT.

Et il n'y a que votre cerveau qui puisse le faire ! avec tout le BON SENS dont vous disposez !

Et prenez bien soin de vous !]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200907300954073 http://commedansdubeurre.ch?p=200906181735598#comments Thu, 30 Jul 2009 07:54:07 GMT Url: http://sylvain-maret.blogspot.com/

-------------------------
Effectivement c'est pas facile de lutter contre le fishing. Il y a maintenant Twitter avec ces URL courtes. C'est tellement facile de cliquer sur un lien d'une personne de Twitter. Et hop on est sur un site avec du code malicieux.

Ça m'est arrivé il y a une semaine... Et oui ! Heureusement mon Anti-Virus n'était pas content.

Mais il peut arriver une autre fois que l'on tombe sur le site avec un code malicieux de type Zero Day. Et la l'anti-virus est impuissant....

Alors comment se protéger de ces attaques inconnu?

Un début de réponse expliquer dans un article de 2001... (Antivirus : une
technologie obsolète?)

http://www.e-xpertsolutions.com/images/pdf/Article-AV-HIPS.pdf

Malheureusement peux d'Anti Virus travaille en mode HIPS de type analyse de comportement.]]> blog-commedansdubeurre@nospam.org http://commedansdubeurre.ch?p=200906181735598#comments http://commedansdubeurre.ch?p=200906181735598#c200906190111323 http://commedansdubeurre.ch?p=200906181735598#comments Thu, 18 Jun 2009 23:11:32 GMT