Sécurité

Phishing : les moyens de lutter

Vérification de l'existence d'un protocole sécurisé

Avant toute chose, il est toujours nécessaire devérifier que la page du site vous demandant des informationspersonnelles est sécurisée. Dans ce cas, l'URLdoit commencer par https:// (pour HyperTextTransfer Protocol Secure). Lorsque vous arrivez sur une pagesécurisée, votre navigateur vous en informe.

Internet Explorer affichera l'alerte suivante :

Accès à une zone sécurisé avec Internet Explorer

Avec Firefox, un message similaires'affichera :

Accès à une zone sécurisé avec Firefox

De même, lorsque vous quittezune zone sécurisée, le navigateur vous en informeégalement.

Avec Internet Explorer :

Sortie d'une zone sécurisé avec Internet Explorer

Avec Firefox :

Sortie d'une zone sécurisé avec Firefox

A noter que sous IE, le fait de cocherla case "Ne plus afficher ce message" supprimerales prochains avertissements. Au contraire, sous Firefox, le fait de nepas cocher la case les supprimera.

Lors de votre surf en zone sécurisée, InternetExplorer affiche un petit cadenas fermé en bas àdroite : . Demême pour Firefox où un symbole similaire estégalement présent : .

Il est également intéressant de consulter lecertificat de sécurité des pagessécurisés. Voici la démarcheà effectuer avec Internet Explorer.


Certificats desécurité avec Internet Explorer :
(Source : SociétéGénérale)
Aller dans le menu Fichier puis Propriétés:

Connexion SSL sécurisée avec IE

Dans notre exemple, on se connecte surle service bancaire Vidéoposte. La ligne qui nousintéresse ici commence par Connexion :.Il doit y avoir l'indication SSL v3.0 ou TLSv1.0 et RC4 ou AES.Le cryptage doit également être indiqué(au minimum 128 bits).

Un clic sur le bouton Certificats nousaffiche la fenêtre suivante :

Certificat de sécurité sous IE

On vérifie alors que lecertificat est bien délivré àl'organisme sur lequel on se connecte (videoposte dans notre exemple)par Secure Server Certification Authority.

On clique ensuite sur l'onglet Chemin d'accèsde certification :

Chemin d'accès de certification

On vérifie que l'on trouvebien VeriSign/RSA Secure Server CA (ouorganisme équivalent) dans le chemin d'accès decertification. De même, on vérifieégalement que dans l'état du certificat, il y estindiqué Ce certificat est valide.


Certificats de sécurité avec Firefox :

Sur ce navigateur, la consultation des certificats desécurité se fait de manièredifférente. Il faut pour cela aller dans le menu Outilspuis Informations sur la page.Sélectionner ensuite l'onglet Sécuritédans la fenêtre qui vient d'apparaître :

Identité du site Web vérifiée

On voit ici que l'identitédu site web (videoposte dans notre exemple) estvérifiée et la connexion estsécurisée (RC4 128 bits). Un clic sur le bouton Voirnous permet de découvrir plus en détail lecertificat de sécurité qui vérifiel'identité du site :

Certificat de sécurité

Comme avec IE, on vérifieici que le certificat est bien délivréà l'organisme sur lequel on se connecte (videoposte dansnotre exemple) par Secure Server Certification Authority.On constate également que le certificat est en cours devalidité (il expire le 19/06/2006 dans notre exemple).

Enfin, on clique sur l'onglet Détailsafin d'obtenir plus de précisions :

Détails du certificat de sécurité

On constate que VeriSign/RSASecure Server CA est bien indiqué dans lahiérarchie des certificats.



Enfin, il faut savoir que même si laprésence d'un protocole sécurisé n'estpas pour autant garant de l'intégrité du site enquestion, son absence n'est pas bon signe ! Aujourd'hui,les sites de phishing ne proposent pas (pas encore ?)d'accès sécurisés avec un certificatvalide à leurs pages, leur absence est donc un bon moyen dese rendre compte de la supercherie.

Vos commentaires
Laissez un commentaire !
  1. rolandro en tant qu'invité
    le 10 février 2014 à 10h14

    Très pédagogique. Merci.

    répondre
  2. riri1969 en tant qu'invité
    le 21 novembre 2006

    Trés bon outil ; Devient vite indispensable. Je ne l'ai installé que sur l'infâme I.E pensant que FF était assez sécur

    répondre
  3. yo4 en tant qu'invité
    le 30 juillet 2005

    je vais pas etre original, mais vraiment bravo et merci.

    répondre
  4. Gen en tant qu'invité
    le 26 juillet 2005

    Génial cet article, on a enfin quelque chose de complet et rempli d'exemples en ce qui concerne les méthodes de phishing et les moyens de se protéger

    Bravo Yann

    répondre
  5. pierromanu en tant qu'invité
    le 26 juillet 2005

    merci pour cet article complet et tout....

    répondre
  6. phildelo en tant qu'invité
    le 22 juillet 2005

    Salut Yann. Je viens tout juste de m'inscrire aux forums Zebulon, après avoir lu ton article. Moi qui parfois achète sur le net, je vais, bien sûr être beaucoup plus vigilent. Félicitations pour celui-ci, il est super et complet. Même moi qui suis novice, j'ai compris et ai fait les vérifs. Encore merci à toi ainsi qu'a ceux qui s'investssent pour les autres.

    répondre
  7. Yann en tant qu'invité
    le 22 juillet 2005

    Merci à vous
    Je profite également de ce commentaire pour remercier ipl_001 pour sa relecture qui a permis la corrections des fautes d'orthographes

    répondre
  8. The Brain en tant qu'invité
    le 21 juillet 2005

    Super article Yann, bien foutu et documenté, bravo !!!!

    répondre
Ecrire un commentaire