Suivez-nous

Réseau

Safari 3.2, retour sur le phishing

neilime

Publié le

 

Par

phising.jpg

En février dernier (voir la dépêche) puis en avril, la société Paypal, propriété d’eBay, avait lancé la polémique : devaient-ils interdire ou non l’accès à ses services aux utilisateurs du navigateur Safari ?

Les principales remontrances étaient un, l’absence d’un outil anti-hameçonnage et deux l’absence de support d’un certificat de sécurité étendu nommé EV-SSL qui n’est donné qu’après une enquête approfondie.

Avec la sortie de Safari 3.2 en début de semaine (voir la dépêche), les développeurs d’Apple ont ajouté à leur butineur à la fois un outil de protection contre les sites frauduleux (ceux qui tente de se faire passer pour votre banque pour récupérer vos identifiants) et ce support des fameux certificats de validation étendus.

Les certificats habituels signifie en effet uniquement que la connexion est sécurisée mais pas vers qui. On pouvait alors transmettre nos identifiants aux pirates … de manière chiffrée !

Ces certificats étendus permettent non seulement de vérifier que la connexion est sécurisée, mais qu’en plus l’entreprise derrière la connexion est bien celle qu’elle prétend être, l’organisme de délivrance ayant du se charger de vérification plus poussées qu’à l’habitude.

phising.jpgSous Safari, les sites dotés de ce nouveau certificat seront identifiés par l’apparition en haut à droite du nom de l’entreprise en caractères de couleur verte.

Pour ce qui est des sites suspectés de pratiquer du hameçonnage, Safari utilise une liste tenue à jour par Google et affichera une fenêtre avec un bandeau rouge pour attirer votre attention sur le fait qu’il pourrait y avoir anguille sous roche.

Mais ces techniques sont-elles efficaces ?

C’est possible si l’on en croit une étude menée par l’Université de Harvard et le MIT qui montre tout de même que les utilisateurs ont tendance à ignorer les messages d’avertissement tandis qu’un sondage effectué par un FAI britannique fait ressortir qu’en majorité, les utilisateurs ne savent même pas ce que signifie ces certificats.

D’ailleurs Rich Mogull a fait l’expérience : après avoir reçu un courriel de hameçonnage, il l’a ouvert dans Safari, Firefox et Explorer et aucun des sites ne l’a repéré alors que, renseignement pris, le site était répertorié comme dangereux depuis deux jours dans certaines bases de données … mais apparemment pas celles utilisées par nos navigateurs.

Conclusion, c’est évidemment une bonne nouvelle qu’Apple au travers de Safari suive l’évolution des outils de sécurité, mais si à la fois les utilisateurs ne sont pas formés et les bases de données ne sont pas à jour, il va falloir faire un sacré travail d’apprentissage.

Are Safari’s New Anti-Phishing Features Useful?

Etude Harvard/MIT)

Etude britannique

Test du MacBook Pro 16"
Dernière vidéo Abonnez-vous