Une étude conduite par les universités Harvard et UC Berkeley a montré que les utilisateurs se faisaient facilement piéger par des sites de phishing et que la technologie actuelle était incapable de les alerter du danger. Selon elle, la solution au problème ne passerait pas par davantage de développements centrés sur la technique mais par une meilleure prise en compte des capacités humaines. Certains utilisateurs manquent de connaissances basiques dans l’utilisation de leur ordinateur, la plupart ont une mauvaise connaissance des indicateurs de sécurité de leur navigateur web, mais des utilisateurs chevronnés peuvent aussi se laisser facilement piéger par des tromperies visuelles (notamment celles utilisant des ressemblances entre caractères dans un nom de domaine, les images affichant une URL et qui sont un lien vers une autre URL, images imitant les fenêtres de navigateur, fenêtres masquant la fenêtre sous-jacente). Les auteurs proposent une solution, l’utilisation des "Dynamic Security Skins" qui permet à l’utilisateur de vérifier le site sur lequel va s’effectuer l’entrée des identifiant et mot de passe grâce à une image qu’il a choisie et donc qu’il connaît. Ensuite, les pages provenant du serveur sur lequel l’identification a été faite seront visuellement facilement différenciables des autres (car elles contiendront un motif généré aléatoirement présenté en plus de l’image connue sur la fenêtre d’identification).
Le phishing compte parmi les problèmes de sécurité d’Internet les plus importants, ce qui conduit le Department of Homeland Security à financer des recherches et viser à un plus grand déploiement d’outils de lutte contre le phénomène.
Source :
– https://www.vnunet.com/vnunet/news/2154097/research-finds-way-beat
– https://www.technologyreview.com/read_article.aspx?ch=&sc=&id=16702&pg=1
Pour en savoir plus, contacts :
– L’étude : https://people.deas.harvard.edu/~rachna/papers/why_phishing_works.pdf
– Dynamic Security Skins : https://www.sims.berkeley.edu/~rachna/papers/securityskins.pdf
Code brève
ADIT : 33203
Rédacteur :
Sébastien Morbieu, [email protected]