|
| |
| SECURITE |
| Les bonnes pratiques anti-phishing existent mais restent difficiles à mettre en oeuvre |
| Dans un livre blanc, McAfee Research énumére une série de bonnes pratiques destinées aux institutions financières, commerçants et fournisseurs de services en ligne, pour contrer ce nouveau type d'attaque.
(01/06/2004) |
|
Selon un livre blanc édité par McAfee Research, les taux de transformation des attaques de type phishing sont compris entre 1 et 20%. Des opérations frauduleuses qui peuvent porter sur plus d'un million de destinataires à qui l'on tente de faire remplir des formulaires - sur de "vrais faux" sites - pour leur soutirer des informations confidentielles.
Selon l'Anti-Phishing Working Group (APWG), 176 nouveaux cas d'attaques ont été enregistrés en janvier 2004, en hausse de 52% par rapport au mois précédent. Les clients des institutions financières, des commerçants en ligne et des fournisseurs de services en ligne sont visés par ces opérations.
Afin de contrer ce nouveau type de menace, McAfee Research propose une série de mesures à destination des entreprises. La première
de ces bonnes pratiques est de bâtir une politique très claire quant aux courriels sortants et de la communiquer, aussi fréquemment que possible, aux clients.
Par exemple, il peut être décidé de supprimer tout lien hypertexte des courriers électroniques émanant de la société. Les techniques de phishing exploitent en effet des failles du navigateur Internet Explorer de Microsoft qui permettent d'envoyer les internautes vers de faux sites, identiques aux vrais dans leur apparence, via des URL falsifiées.
| De bonnes pratiques de bon sens |
Pour éviter cela, un moyen est de ne proposer que des liens au format texte à copier/coller dans la barre des URL du navigateur. Cette parade n'empêche cependant pas les phishers d'envoyer, eux, des courriels contenant des liens hypertexte. Elle ne peut par ailleurs fonctionner qu'à la condition de répéter aussi souvent que possible le fait qu'aucun lien hypertexte n'est envoyé dans les courriers... Une préconisation similaire est de ne jamais utiliser de formulaire, moyen privilégié pour les pirates de collecter les informations sensibles de leurs victimes.
Au delà de ces pratiques, qui relèvent du bon sens, McAfee Research recommande le recours à la signature électronique. Cette solution requiert que le destinataire sache installer et maintenir sur son poste un dispositif à clé privée mais assure un niveau de sécurité très élevé, laissant peu de place aux aléas. Cependant, sur un nombre élevé de clients, la solution semble difficilement déployable.
| Pourquoi pas l'authentification forte ? |
D'autres suggestions sont faites par McAfee Research pour personnaliser davantage le courriel : photo, nom du client, historique des derniers échanges ou des derniers achats. La question est de savoir si ces éléments sont suffisamment déterminants pour que, en leur absence, l'attention du client soit attirée.
Enfin, McAfee Research aborde le sujet des mécanismes d'authentification forte, c'est-à-dire à usage unique. Afin d'empêcher les pirates de collecter l'identifiant et le mot de passe d'un client, l'idée est de faire en sorte que ce client ne soit pas en possession de ces informations, sauf au moment même où il se connecte. Ces dispositifs, tels que les "tokens" (jetons) d'authentification, ont un coût et leur multiplication, en fonction des sites les utilisant, peut devenir un obstacle à leur diffusion. |
|
|
 |
Dossier 
