|
Guillaume Brossard
Co-fondateur
HoaxBuster.com
 En savoir plus
|
Le phishing est une véritable plaie, au même titre que le spam, les virus ou les hoax. Par conséquent, tous les projets tendant à essayer de rendre le net plus transparent, sans toutefois chercher à le cadenasser, sont forcément les bienvenus. Cependant, une simple vitrine exposant les sites phisheurs ne cadre pas avec mes conceptions de l'aide aux internautes. En effet, plutôt que de ne faire qu'aligner dans une base de données les coordonnées des bad guys, il me semblerait plus approprié d'apprendre aux internautes à les reconnaître par eux-mêmes - l'un n'empêche d'ailleurs pas l'autre- afin qu'ils ne risquent plus de tomber dans le piège.
Il y a plusieurs limites à ce type de projets, et pas seulement sur le long terme...
La plus évidente réside réside dans le concept même du PhishTank. Celui-ci consiste à établir une base de données dans laquelle on vient piocher pour vérifier une URL. Ceci implique que l'URL en question a déjà été utilisée par les phisheurs - puisque repérée et bocalisée dans le PhishTank par des internautes. Admettons qu'il faille 24h pour qu'un site phisheur soit démasqué, combien de victimes sont d'ores et déjà tombées dans le piège dans ce laps de temps ? Et combien de temps faut-il au phisheur pour mettre son arnaque sur un autre domaine et relancer ainsi ses hameçons avec une nouvelle ligne ?
Une autre limite est directement liée aux catégories d'internautes visées par le phishing - les cibles. En effet, utiliser le PhishTank de quelque manière que ce soit - via le site ou via l'API dédiée - implique, a minima, une connaissance de la pratique et, de manière plus générale, une méfiance systématique à la réception d'un mail douteux. Or les victimes de ces arnaques sont par définition des gens qui ne se méfient pas, voire qui ne savent pas que ce type de pratique est possible. Dès lors, vouloir se persuader qu'on va tuer le phishing grâce au PhishTank revient probablement à se bercer d'illusions. Pour les internautes méfiants ou avertis, le PhishTank a t-il une réelle utilité dès lors qu'ils n'iront pas cliquer sur n'importe quelle URL, sinon celle de se voir décerner le trophée du meilleur "bocaliseur de phish de la région" ?
Enfin, la dénonciation des "mauvais garçons" par les internautes volontaires évoque des penchants humains pas forcément très glamours. Et ce d'autant plus que dans ses statistiques, PhishTank met en avant les plus gros dénonciateurs. Par ailleurs, l'aspect "tu t'inscris et tu dénonces qui tu veux" laisse un peu rêveur. Comment ne pas imaginer que des petits malins vont s'amuser à dénoncer les noms de domaines ou les adresses IP de leurs copains, de leurs ennemis, des sites institutionnels, etc... ? De plus, comme chaque inscrit peut contribuer à valider ou invalider un potentiel phish, il y a fort à parier que des groupes de hackers vont rapidement s'amuser à mettre sur pied un process de validation permettant de faire passer directement le site de telle ou telle société réelle - ou encore mieux, le site réel d'une banque réelle - comme celui d'un vulgaire phisheur.
Le PhishTank s'adresse à tous. Qu'on soit un internaute débutant ou chevronné il est possible d'y contribuer ou de venir y chercher un renseignement. Cet aspect-là est plutôt positif et va dans le sens d'une communauté ouverte, responsable et démocratique. Paradoxalement, il serait peut-être plus efficace que l'API soit effectivement proposée initialement à des grands éditeurs dans une optique d'intégration et d'utilisation à plus grande echelle - diffusion via toolbar par exemple.
Pour conclure de manière un peu caricaturale, le PhishTank ça peut être bien, mais dans sa forme actuelle, seuls les passionnés vont s'en servir, il ne sera donc finalement d'aucune utilité.
|
