Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Phishing : Comment réveiller/activer le firewall qui sommeille en nous ?

Phishing : Comment réveiller/activer le firewall qui sommeille en nous ?
2009-03-012013-02-11sécurité organisationnelle et humainefr
Dans la catégorie des attaques particulièrement efficaces (et donc ayant le vent en poupe) le phishing est le trublion de la liste. A contrario d'autres attaques, nul besoin d'être un grand gourou en sécurité et de maitriser des techniques ou outils sophistiqués. Vous savez envoyer du...
Publié le 1 Mars 2009 par Jean-François Audenard dans sécurité organisationnelle et humaine

Dans la catégorie des attaques particulièrement efficaces (et donc ayant le vent en poupe) le phishing est le trublion de la liste. A contrario d'autres attaques, nul besoin d'être un grand gourou en sécurité et de maitriser des techniques ou outils sophistiqués. Vous savez envoyer du spam et monter une page web ? Si la réponse est "Oui je sais" alors le phishing est à votre portée !

Quelles sont les principales techniques de protections ? En amont, on retrouve principalement les filtres antispams, et en aval (pour récupérer "in extrémis" les utilisateurs qui se font avoir) il reste par exemple les solutions basées sur des liste de réputation (URL Filtering spécifiques ou solutions intégrées aux browsers).

Entre les deux, tout repose sur le bon sens de l'utilisateur, sa méfiance naturelle, sa crédulité ou encore son niveau de connaissance de ce type d'attaque : Bref, sa cervelle et son contenu... Et oui, pour le moment, le seul rempart a peu près efficace face à cette menace c'est la formation/sensibilisation des utilisateurs... Désolé pour les technophiles.

Certains acteurs ont vu le coup venir : Il y a ici un créneau pour développer le business : Un bon exemple, la société Phishme.com (J'adore le nom lègerement provocateur!) propose en SaaS (Ca c'est "in") un service vous permettant de lancer des campagnes de "phishing éthique" pour sensibiliser un ensemble de personnes à se protéger contre ce type d'attaques.

Quelques réflexions :

1) Bonne approche du problème : C'est notamment en adoptant les techniques de l'attaquant que l'on développe ses mécanismes de défense/protection.

2) C'est une très bonne façon d'aider les personnes à mieux connaitre, et donc à se protéger, des attaques de phishing : En étant très basique, après s'être fait avoir une fois, les personnes sont plus méfiantes. Certaines personnes diront que la méthode est peut-être un peu "brutale" mais parfois la fin justifie les moyens. :-)

3) Un service qui était jusqu'ici vendu sous le manteau est désormais commercialisé "officiellement", le business modèle restant le même, seule la clientèle et les prix évoluent (Lire: C'est honnête, donc plus cher). L'argent n'ayant pas d'odeur, certains verront ici de nouveaux débouchés pour rentabiliser encore leurs développements. D'autres y verront une source d'inspiration pour faire évoluer leurs systèmes.

2 Commentaires

  • 21 Mai 2008
    2008-05-21
    par
    Pour compléter, le site Phishtank (http://www.phishtank.com/) propose une approche collaborative de lutte contre les sites de Phishing. Intéressant.
  • 21 Mai 2008
    2008-05-21
    par
    Lançons nous donc dans l'ethicalPhishing. Et pour aller jusqu'au bout de cette démarche absurde, réalisons un virement d'un euro symbolique depuis le compte bancaire de nos victimes, pardon, de nos utilisateurs à sensibiliser ;-) Dans le cas contraire, nous risquons de nous retrouver avec des individus tels que ce présentateur TV qui publia fin 2007 des informations relatives à ses comptes à la Barclays avec ce commentaire : "tout ce que vous pourrez faire, c'est mettre de l'argent sur mon compte. Pas en retirer." Seul un virement de 500 livres lui a permis de changer d'avis : "J'ai eu tort et j'ai été puni." (article complet sur http://news.bbc.co.uk/2/hi/entertainment/7174760.stm , à destination des anglophones).
    Plus sérieusement, le site http://www.antiphishing.org/ permet de mettre en avant un certain nombre de tendances relatives au phishing.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage