Mai 2012
Safari et le phishing : du Mac à l'iPhone
par Florian Innocente le Dimanche 20 Avril 2008 à 21:08
Paypal, le système de paiements en ligne d'eBay ne bloquera pas les utilisateurs de Safari. C'est ce qu'a affirmé Michael Oldenburg, son responsable communication. "Nous n'avons absolument aucune intention d'interdire l'accès à notre site à une quelconque version des navigateurs actuels, Safari inclus".
Une mise au point en réponse à l'interprétation faite du contenu d'un livre blanc de Paypal sur le phishing (voir l'article Safari bientôt banni par PayPal ?).
L'entreprise y expliquait qu'elle écarterait des navigateurs dont les méthodes de signalement des sites falsifiés sont jugées insuffisantes. Selon Michael Oldenburg, sont plutôt concernées des combinaisons de navigateurs et d'OS qui ne sont plus supportés par leurs éditeurs, tels Internet Explorer 4 et Windows 98.
Paypal avait néanmoins montré du doigt Safari, en février dernier, pour son système antiphishing moins développé que ceux de Firefox 3 et d'Internet Explorer 7 (voir l'article Paypal tacle Safari sur la sécurité). Un thème du phishing qui est particulièrement absent des pages techniques d'Apple. A l'exception d'une note invitant les utilisateurs de Mail à redoubler de prudence, avec quelques conseils élémentaires.
Safari Mobile à améliorer
La question du phishing n'épargne pas le Safari de l'iPhone. Une étude (PDF, 1.8 Mo) a été menée à l'Université de Californie avec 37 utilisateurs à qui on avait confié l'appareil d'Apple.
De par la taille de l'écran, l'adresse d'un site ne peut être affichée dans son entier. Alors que c'est notamment la syntaxe anormale d'un URL qui peut mettre la puce à l'oreille sur la véritable origine d'un site. Même en appuyant longuement sur un lien reçu dans un courrier, l'utilisateur ne verra qu'une adresse tronquée, dont la partie centrale est absente. À l'auteur du site frauduleux de se débrouiller pour glisser au bon endroit les points litigieux de son adresse.
L'utilisateur devra lui aller à l'intérieur du champ de l'adresse pour la parcourir, laborieusement, en intégralité. Mais là encore, des astuces sont possibles. Lorsqu'on fait défiler une page dans Safari Mobile, la barre d'adresses ne reste pas à l'écran, elle s'en va dans le défilement.
Rien de plus facile, comme l'ont réussi les auteurs de ce test, que de faire charger une page qui contiendra en son sein une fausse barre d'adresses avec tous les atours graphiques de la vraie (cadenas de sécurité compris, voir la seconde image ci-dessous).
Ensuite quelques lignes de JavaScript empêcheront l'utilisateur de faire défiler la page afin de remonter jusque vers la barre originale, où l'absence du cadenas pourrait signifier un problème. A chaque fois la page se recalera au niveau de la fausse barre.
Du Mac à l'iPhone, la question de la capacité de Safari à se mettre en travers du chemin des sites falsifiés pour aider les utilisateurs étourdis, novices ou imprudents reste d'actualité…
Une mise au point en réponse à l'interprétation faite du contenu d'un livre blanc de Paypal sur le phishing (voir l'article Safari bientôt banni par PayPal ?).
L'entreprise y expliquait qu'elle écarterait des navigateurs dont les méthodes de signalement des sites falsifiés sont jugées insuffisantes. Selon Michael Oldenburg, sont plutôt concernées des combinaisons de navigateurs et d'OS qui ne sont plus supportés par leurs éditeurs, tels Internet Explorer 4 et Windows 98.
Paypal avait néanmoins montré du doigt Safari, en février dernier, pour son système antiphishing moins développé que ceux de Firefox 3 et d'Internet Explorer 7 (voir l'article Paypal tacle Safari sur la sécurité). Un thème du phishing qui est particulièrement absent des pages techniques d'Apple. A l'exception d'une note invitant les utilisateurs de Mail à redoubler de prudence, avec quelques conseils élémentaires.
Safari Mobile à améliorer
La question du phishing n'épargne pas le Safari de l'iPhone. Une étude (PDF, 1.8 Mo) a été menée à l'Université de Californie avec 37 utilisateurs à qui on avait confié l'appareil d'Apple.
De par la taille de l'écran, l'adresse d'un site ne peut être affichée dans son entier. Alors que c'est notamment la syntaxe anormale d'un URL qui peut mettre la puce à l'oreille sur la véritable origine d'un site. Même en appuyant longuement sur un lien reçu dans un courrier, l'utilisateur ne verra qu'une adresse tronquée, dont la partie centrale est absente. À l'auteur du site frauduleux de se débrouiller pour glisser au bon endroit les points litigieux de son adresse.
L'utilisateur devra lui aller à l'intérieur du champ de l'adresse pour la parcourir, laborieusement, en intégralité. Mais là encore, des astuces sont possibles. Lorsqu'on fait défiler une page dans Safari Mobile, la barre d'adresses ne reste pas à l'écran, elle s'en va dans le défilement.
Rien de plus facile, comme l'ont réussi les auteurs de ce test, que de faire charger une page qui contiendra en son sein une fausse barre d'adresses avec tous les atours graphiques de la vraie (cadenas de sécurité compris, voir la seconde image ci-dessous).
Ensuite quelques lignes de JavaScript empêcheront l'utilisateur de faire défiler la page afin de remonter jusque vers la barre originale, où l'absence du cadenas pourrait signifier un problème. A chaque fois la page se recalera au niveau de la fausse barre.
Du Mac à l'iPhone, la question de la capacité de Safari à se mettre en travers du chemin des sites falsifiés pour aider les utilisateurs étourdis, novices ou imprudents reste d'actualité…
|
Vos réactions (12 réactions)
mahers
[21/04/2008 06:51]
Une parade qui marche à tout coup consisterait, si l'on soupçonne une quelconque arnaque est de rentrer des fausses données, mot de passe compris. Un tel site nous autoriserait automatiquement l'accés et bingo...
Une parade qui marche à tout coup consisterait, si l'on soupçonne une quelconque arnaque est de rentrer des fausses données, mot de passe compris. Un tel site nous autoriserait automatiquement l'accés et bingo...
Philactere
[21/04/2008 08:58]
La petite explication sur le comment contourner Safari sur iPhone laisse songeur sur la malignité des pirates qui va bien au delà de la simple imitation d'une page... Dès lors je ne comprends pas qu'Apple ait pris ce retard dans l'anti-phishing et surtout que certains [url=http://www.macgeneration.com/news/voir/129758/safari-bientot-banni-par-paypal]ici[/url] s'evertuent à minimiser le problème..
La petite explication sur le comment contourner Safari sur iPhone laisse songeur sur la malignité des pirates qui va bien au delà de la simple imitation d'une page... Dès lors je ne comprends pas qu'Apple ait pris ce retard dans l'anti-phishing et surtout que certains [url=http://www.macgeneration.com/news/voir/129758/safari-bientot-banni-par-paypal]ici[/url] s'evertuent à minimiser le problème..
FabriceG
[21/04/2008 09:00]
Il faudrait taper aussi sur les registrars : ce sont eux qui laissent passer les noms de domaines utilisés dans le phishing. À l'instar des listes anti-phishing, il pourrait exister une liste des domaines sensibles (banques, etc.). Ainsi, reserver un nom de domaine entrant dans des critères de confusion avec l'un des noms de cette liste serait refusé. On pourrait imaginer la même chose du côté serveurs de noms (DNS), etc.
Pour être efficace, cette lutte ne peut pas être menée que du côté client, il faut qu'elle soit menée sur tout les fronts. La réservation des noms de domaines est l'un de ces fronts.
Il faudrait taper aussi sur les registrars : ce sont eux qui laissent passer les noms de domaines utilisés dans le phishing. À l'instar des listes anti-phishing, il pourrait exister une liste des domaines sensibles (banques, etc.). Ainsi, reserver un nom de domaine entrant dans des critères de confusion avec l'un des noms de cette liste serait refusé. On pourrait imaginer la même chose du côté serveurs de noms (DNS), etc.
Pour être efficace, cette lutte ne peut pas être menée que du côté client, il faut qu'elle soit menée sur tout les fronts. La réservation des noms de domaines est l'un de ces fronts.
Philactere
[21/04/2008 09:23]
Tout à fait juste FabriceG, mais quant on voit le mode de fonctionnement ultra-libéral des registrars je doute qu'ils soient capablent de se mettre d'accord sur une norme tant que leurs intérêts financiers ne sont pas directement en jeux.
Mais sur le fond je te rejoins sur le fait que le phishing, tout comme les autres questions de sécurité informatique, concerne tous les acteurs et non pas seulement les 2 extrémités.
Tout à fait juste FabriceG, mais quant on voit le mode de fonctionnement ultra-libéral des registrars je doute qu'ils soient capablent de se mettre d'accord sur une norme tant que leurs intérêts financiers ne sont pas directement en jeux.
Mais sur le fond je te rejoins sur le fait que le phishing, tout comme les autres questions de sécurité informatique, concerne tous les acteurs et non pas seulement les 2 extrémités.
FabriceG
[21/04/2008 10:00]
Je comprends que l'on puisse penser que si un navigateur n'intègre pas un système anti-phishing, il rend l'utilisateur plus vulnérable. Mais ce n'est vraiment pas la panacée. Si le domaine servant d'hameçonnage n'est pas sur la (les ?) liste(s) anti-phishing, ce système devient donc inefficace. Il ne faut donc pas que ce soit le SEUL système de contrôle. Concernant ces listes, sont-elles unifiées ? est-ce la même que Microsoft et Mozilla emploient ? Où se trouve cette (ces) list(s)e ? Qui gère ? Et surtout, la question qui tue… est-ce que cette liste ne pourrait pas se faire pirater lors de la vérification par le navigateur, via justement par un petit javascript bien senti, interdisant la détection du site pirate ?
Sur un mode plus polémique maintenant : je pense que eBay est gonflé et se moque du monde. eBay se repose sur ce système qui me semble très passoire, laissant croire que les problèmes de sécurité viennent de nous et non pas d'eux ! La meilleure défense, c'est l'attaque. eBay attaque pour ne pas laisser croire qu'elle se moque de notre sécurité. Que penseriez-vous de votre banque si elle vous demandait de porter un gilet pare balle pour vous présenter à ses guichets afin de vous garantir une meilleure sécurité ?
Ma banque par contre m'a toujours dit, et me le rappelle souvent que : JAMAIS elle m'enverra un email pour me signaler un problème en ligne sur mon compte. JAMAIS.
eBay par contre inonde littéralement ses clients d'emails, avec des liens illisibles. On ne peut pas être étonné alors que le phishing via ebay soit particulièrement efficace (et encore une fois, si la liste anti-phishing ne répertorie pas encore l'attaque nouvelle, le navigateur restera MUET). Si par contre eBay ne donnait JAMAIS de lien direct par email, cela serait plus sûr. eBay est un peu victime de son mauvais système de communication.
Faisons la part des choses, n'aboyons pas toujours avec la meute. Oui a l'anti-phishing, mais sans nous faire croire que c'est l'arme absolue.
Je comprends que l'on puisse penser que si un navigateur n'intègre pas un système anti-phishing, il rend l'utilisateur plus vulnérable. Mais ce n'est vraiment pas la panacée. Si le domaine servant d'hameçonnage n'est pas sur la (les ?) liste(s) anti-phishing, ce système devient donc inefficace. Il ne faut donc pas que ce soit le SEUL système de contrôle. Concernant ces listes, sont-elles unifiées ? est-ce la même que Microsoft et Mozilla emploient ? Où se trouve cette (ces) list(s)e ? Qui gère ? Et surtout, la question qui tue… est-ce que cette liste ne pourrait pas se faire pirater lors de la vérification par le navigateur, via justement par un petit javascript bien senti, interdisant la détection du site pirate ?
Sur un mode plus polémique maintenant : je pense que eBay est gonflé et se moque du monde. eBay se repose sur ce système qui me semble très passoire, laissant croire que les problèmes de sécurité viennent de nous et non pas d'eux ! La meilleure défense, c'est l'attaque. eBay attaque pour ne pas laisser croire qu'elle se moque de notre sécurité. Que penseriez-vous de votre banque si elle vous demandait de porter un gilet pare balle pour vous présenter à ses guichets afin de vous garantir une meilleure sécurité ?
Ma banque par contre m'a toujours dit, et me le rappelle souvent que : JAMAIS elle m'enverra un email pour me signaler un problème en ligne sur mon compte. JAMAIS.
eBay par contre inonde littéralement ses clients d'emails, avec des liens illisibles. On ne peut pas être étonné alors que le phishing via ebay soit particulièrement efficace (et encore une fois, si la liste anti-phishing ne répertorie pas encore l'attaque nouvelle, le navigateur restera MUET). Si par contre eBay ne donnait JAMAIS de lien direct par email, cela serait plus sûr. eBay est un peu victime de son mauvais système de communication.
Faisons la part des choses, n'aboyons pas toujours avec la meute. Oui a l'anti-phishing, mais sans nous faire croire que c'est l'arme absolue.
ysengrain
[21/04/2008 11:31]
Les e mails de phising envoyés pour Paypal sont tellement grossiers qu'on les reconnait immédiatement.
Non, n'aboyons pas avec la meute, prenons un peu de recul et réfléchissons.
Les e mails de phising envoyés pour Paypal sont tellement grossiers qu'on les reconnait immédiatement.
Non, n'aboyons pas avec la meute, prenons un peu de recul et réfléchissons.
Soheil
[21/04/2008 12:21]
D'accord avec Fabrice G. Le meilleur conseil que l'on puisse suivre pour éviter de mordre à l'hameçon c'est de ne jamais cliquer sur un lien dans un e-mail, de toujours retaper soi-même l'adresse ou d'utiliser ses propres signets pou accéder à son compte, comme on fait d'habitude. Même avec un système anti-phishing intégré au navigateur je crois que je continuerais à procéder de cette manière.
D'accord avec Fabrice G. Le meilleur conseil que l'on puisse suivre pour éviter de mordre à l'hameçon c'est de ne jamais cliquer sur un lien dans un e-mail, de toujours retaper soi-même l'adresse ou d'utiliser ses propres signets pou accéder à son compte, comme on fait d'habitude. Même avec un système anti-phishing intégré au navigateur je crois que je continuerais à procéder de cette manière.
kotek
[21/04/2008 12:24]
Ça me fait penser à un film où des types avaient créé une société qui s'appelait "Trésor Publication" et ils récupéraient tous les chèques postés par les contribuables à l'ordre du Trésor Public en rajoutant seulement 'ation' à la fin.
Du phishing avant l'heure...
Ça me fait penser à un film où des types avaient créé une société qui s'appelait "Trésor Publication" et ils récupéraient tous les chèques postés par les contribuables à l'ordre du Trésor Public en rajoutant seulement 'ation' à la fin.
Du phishing avant l'heure...
Diavlo
[21/04/2008 22:02]
Et en utilisant un fournisseur de DNS plus intelligent (genre OPENDNS) ça peut aussi empêcher le phishing...
Mais Apple qui se targue de faire de la sécurité sur son OS et qui laisse un Safari sans filtre anti-poisson, ça craint !
Et en utilisant un fournisseur de DNS plus intelligent (genre OPENDNS) ça peut aussi empêcher le phishing...
Mais Apple qui se targue de faire de la sécurité sur son OS et qui laisse un Safari sans filtre anti-poisson, ça craint !
biniou
[22/04/2008 00:09]
@Diavlo : ben c'est clair que de ne pas avoir de filtre anti-poisson (d'avril ?) ça craint, surtout quand on a faim.
Aussi non la traduction de anti-phishing c'est : "anti-ameçonnage"... ;-)
@Diavlo : ben c'est clair que de ne pas avoir de filtre anti-poisson (d'avril ?) ça craint, surtout quand on a faim.
Aussi non la traduction de anti-phishing c'est : "anti-ameçonnage"... ;-)
Diavlo
[22/04/2008 11:04]
@biniou : avant de me reprendre sur ma traduction (désolé mais moi j'aime bien l'idée du filtre anti-poisson, je traduis comme je veux le néologisme "phish" qui n'existe pas –la véritable traduction devrait être moisson/pêche aux mots de passes–), je t'invite à te relire plus attentivement : "Aussi non la traduction de anti-phishing c'est : "anti-ameçonnage"... " Je me doute de ce que ça peut vouloir dire mais honnêtement, avant de donner des leçons, sois toi-même irréprochable.
Bonne journée !
@biniou : avant de me reprendre sur ma traduction (désolé mais moi j'aime bien l'idée du filtre anti-poisson, je traduis comme je veux le néologisme "phish" qui n'existe pas –la véritable traduction devrait être moisson/pêche aux mots de passes–), je t'invite à te relire plus attentivement : "Aussi non la traduction de anti-phishing c'est : "anti-ameçonnage"... " Je me doute de ce que ça peut vouloir dire mais honnêtement, avant de donner des leçons, sois toi-même irréprochable.
Bonne journée !
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.
Ces vrai que l'absence de contrôle anti-phishing est un oubli regrettable pour Safari. Espérons que cette petite histoire incite apple à corriger cette oublie.