Les certificats, une solution pour se prémunir du phishing ?

Nous avons tous été confrontés un jour ou l’autre à un mail signé du service des Impôts nous indiquant que l’Etat nous devait de l’argent.Pour se faire rembourser, un simple clic sur un lien renvoyant vers un site à l’apparence officielle pour y saisir nos coordonnées bancaires et nos références administratives.

Bien évidemment, cet e-mail est un faux et les conséquences qui en découlent peuvent être désastreuses. Il s’agit d’une pratique bien connue des hackers : le phishing.

Mais en quoi consiste le phishing ?

Et en quoi cette pratique peut-elle nuire à une entreprise ou une organisation ?
Le phishing ou hameçonnage est une pratique assez simple et très répandue : il s’agit de se faire passer pour une entreprise ou une administration, et ainsi inciter un utilisateur à se connecter à un site ressemblant à l’original pour y entrer des informations personnelles (identifiants de connexion, mot de passe, coordonnées bancaires, numéro de carte bleue…). Ces escroqueries sont en effet configurées de manière à apparaître aussi légitimes et authentiques que possible, par la création d'un e-mail et d'une page Web quasiment identiques au site officiel d'une organisation de confiance.
Grâce à cela, le hacker disposera de toutes les informations nécessaires sur un utilisateur pour en faire un usage délictueux.
Pour l’utilisateur, tomber dans ce piège peut se révéler lourd de conséquences : cela va du vol de quelques euros à une usurpation complète d’identité et l’usage de cette dernière pour commettre des délits.
Ce que l’on sait moins, c’est l’impact qu’a ce genre de pratique sur l’entreprise ou l’administration dont le hacker a « emprunté » l’identité : l’attaque de sa réputation. Une réputation ainsi entachée va alors susciter la méfiance des utilisateurs à l’égard des informations en provenance de son site, et peut aller jusqu’à les faire déserter.

Que peut faire l’entreprise pour se protéger ?

Le cœur même de cette problématique pour une entreprise est de 2 ordres :
  • prouver que son site internet n’est pas un site malveillant ou plagié, mais provient bien de l’organisation qu’elle dit être,
  • prouver l’origine des e-mails qu’elle adresse à ses publics (clients, administrés, visiteurs…).
Dans cette optique, il apparaît qu’une des solutions les plus à même de répondre à ce double-enjeu est l’utilisation des certificats numériques.

En ce qui concerne le site web, un certificat va en effet offrir à l’entreprise :
  • la protection des comptes de ses clients : sécuriser les pages de paiement et de connexions à un compte avec un certificat SSL garantit que les informations qui y sont envoyées seront chiffrées et donc immunisées contre le vol,
  • le renforcement de sa crédibilité et de la réputation de son organisation : sur un site sécurisé par un certificat SSL à validation étendue (EV SSL), le nom de l’entreprise sera affiché dans la barre d'adresse verte,
  • la protection de sa marque contre les attaques de phishing : le certificat EV SSL garantit aux visiteurs que la légitimité de l’entreprise a été vérifiée de façon stricte, que le site est authentique et légitime.
Quant aux e-mails diffusés par l’entreprise, l’utilisation d’un certificat va permettre contre les attaques de phishing non seulement de protéger les e-mails de toute modification de leur contenu, et d’empêcher que ce dernier ne soit divulgué à des sources non autorisées, de disposer d’échanges sécurisés et simplifiés, mais surtout de garantir l'origine des e-mails. En effet, l’identité de l’organisation préalablement vérifiée étant associée au certificat utilisé pour signer les e-mails, les destinataires auront la preuve de qui en est l’auteur.
Le protocole S/MIME (Secure/Multipurpose Internet Mail Extensions) est, en l’espèce, utilisé pour signer et chiffrer les e-mails. Le chiffrement S/MIME garantit l'intégrité, l'authentification et la confidentialité des e-mails en chiffrant les données envoyées. Grâce à la signature numérique, les e-mails sont également non répudiables, c’est-à-dire que l'envoyeur ou le destinataire ne peuvent nier avoir envoyé ou reçu le message. D’autre part, la plupart des clients de messagerie (Microsoft Outlook, Thunderbird, Apple Mail, Lotus Notes, etc.) sont compatibles avec le protocole S/MIME.
Bref, dans l’état actuel des connaissances informatiques, seul le certificat permet de garantir à un utilisateur l’authenticité d’un site web et des e-mails qui en proviennent.

Phishing