Sécurité

Phishing : les moyens de lutter

Les outils pour lutter contre le phishing

Le phishing prenant de plus en plus d'ampleur, il est logique de voir arriver de nouveaux outils permettant de le combattre. Ainsi, le futur Internet Explorer 7 ou la prochaine version de Netscape intègreront un outil anti-phishing par défaut. De même, à l'instar de Gmail aujourd'hui, les webmails eux aussi devraient intégrer une telle fonctionnalité.

On distingue deux types d'outils destinés à contrer le phishing. La première catégorie est basée sur des blacklists, ou listes d'exclusions. Lorsque l'internaute navigue sur un site, le programme consulte alors sa base de données en ligne afin de savoir si le site en question est recensé comme frauduleux. La limite principale de ce type de programme est qu'aucune alerte ne sera lancée si le site de phishing n'est pas encore répertorié.
La seconde catégorie permet quand à elle d'identifier des sites non répertoriés sur des listes. Pour cela, l'outil analyse la page puis évalue un scoring en fonction de divers critères. Ainsi, plus le "score" sera haut, plus le risque que présente le site sera élevé.
La barre anti-phishing de Netcraft regroupe pour sa part ces deux méthodes au sein d'un même outil. Voici quelques-uns de ces outils :

ScamWatch :
Cet outil anti-phishing se voit intégré dans le client mail Eudora depuis sa version 6.2. La détection des potentiels sites frauduleux se fait alors en amont, avant même que l'utilisateur n'arrive sur le site incriminé. Dès la réception, l'outil analyse les liens présents dans l'email en vérifiant notamment si les liens utilisent une adresse IP en lieu et place d'un nom de domaine (pratique courante dans les attaques par phishing). La différence entre l'URL affiché et l'URL réelle du lien est également analysée. En cas de problème, l'utilisateur est alors averti de l'existence du lien potentiellement dangereux. Malheureusement, ScamWatch n'est pas disponible dans la version light gratuite de Eudora mais uniquement dans la version complète payante.

Barre Netcraft :
Il s'agit sans doute de la solution la plus utilisée mais également la plus efficace pour lutter contre le phishing. Existant à la fois pour Internet Explorer et Firefox, cette barre d'outil anti-arnaque vient se greffer au navigateur afin d'offrir différentes informations sur le site consulté. Vous pouvez la télécharger sur zebulon : Netcraft Toolbar pour Firefox ou Netcraft Toolbar pour Internet Explorer. Cette barre reste connectée à la base de données de l'éditeur où est recensé l'ensemble de sites frauduleux connus et permet ainsi d'avertir l'utilisateur si celui-ci se connecte sur l'un d'entre eux. Si nous naviguons sur zebulon.fr, la barre affichera les informations suivantes :

 

Netcraft en action

Nous constatons ici que la barre Risk Rating (évaluation du risque ou indice de risque) est verte, ce qui signifie que le site est sûr. L'évaluation du Risk Rating se fait selon différents paramètres (localisation géographique du serveur, adresse IP, personne ayant déposé le nom de domaine...). D'autres informations sont également disponible :
- date de création du site : les sites de phishing étant très éphémères, une date de création très récente peut être mauvais signe.
- rang : il est calculé en fonction du nombre d'utilisateurs de la barre Netcraft qui ont visité le site.
- rapport de site : un clic sur le lien "Site Report" affiche de nombreuses informations concernant le site en question comme le DNS et son propriétaire, l'IP du serveur, les différent hébergeurs du site qui se sont succédés... Il est conseillé de se méfier d'un site qui ne propose que peu d'informations.
- la nationalité : un petit drapeau indique ici la nationalité du site visité. Cette indication est bien pratique. En effet, il y a peu de chance qu'un site d'une banque française soit hébergée en Russie par exemple...
- le dernier lien indique quant à lui les différents rapports des sites étant chez le même hébergeur.

Outre ces différentes informations permettant de détecter un site frauduleux, la barre Netcraft doit son succès à toute une communauté d'utilisateurs vigilants. En effet, tout utilisateur peut déclarer un site comme étant frauduleux. Pour cela, il suffit simplement de cliquer sur le bouton Netcraft puis de choisir Report puis Report a Phishing Site :

Déclarer un site comme frauduleux avec Netcraft

Un formulaire envoyé plus tard, le site en question sera vérifié. Si l'escroquerie est avérée, un avertissement sera propagé chez l'ensemble des utilisateurs. Ainsi, si vous naviguez sur un site désigné comme frauduleux, un message sera émis :

Avertissement de phishing

Si vous décidez malgré tout de visiter le site en cliquant sur Yes, la barre Risk Rating sera alors rouge :

Risk Rating élevé

Simple et efficace !

Spoofstick :
Cet outil gratuit de l'éditeur américain Core Street fonctionne lui aussi sur Internet Explorer et Firefox. Vous pouvez le télécharger sur zebulon : SpoofStick pour Firefox ou SpoofStick pour Internet Explorer. Il permet simplement d'afficher le nom de domaine "en clair" de la page visité :

Spoofstick en action

Ainsi, dans le cas d'une URL déguisée comme nous avons pu le voir en début de ce dossier, le domaine réel sera affiché. Par exemple, pour l'URL http://signin.ebay.com@10.19.32.4/ qui souhaiterait se faire passer pour Ebay, Spoofstick indiquera "You're on 10.19.32.4". Efficace mais très minimaliste, on lui préférera Netcraft qui s'avère beaucoup plus complet.

Outil proposé par Microsoft :
Voici une façon simple et rapide proposée par le support Microsoft permettant de contrôler l'URL du site sur lequel vous vous trouvez en cas d'adresse "masquée". Il suffit de copier le code javascript ci-dessous puis de le coller dans la barre d'adresse de votre navigateur. Pour cela, sélectionnez le code à l'aide de la souris, faites CTRL-C puis placez le curseur de la souris dans la barre d'adresse et faites CTRL-V.

javascript:alert("L'URL réelle est :\t\t" + location.protocol + "//" + location.hostname + "/" + "\nL'adresse URL est :\t\t" + location.href + "\n" + "\nSi les noms de serveurs ne correspondent pas, il peut y avoir usurpation d'identité.");

Il suffit ensuite de comparer l'URL réelle et l'URL de la barre d'adresse.

Javascript anti-phishing

Si celles-ci ne correspondent pas, nous avons probablement affaire à un site frauduleux.

Comme nous venons de le voir au fil des pages de cet article, les pirates font preuve de toujours plus d'imagination pour donner un maximum de crédibilité à leurs arnaques. Fort heureusement, un minimum de précautions permet aujourd'hui de déjouer ce type de fraude. Pour conclure ce dossier, on dira que le phishing en est qu'à ses début mais devient de plus en plus sophistiqué et que le meilleur moyen de lutter contre est avant tout l’information ! L’internaute peu informé des risques est un internaute crédule et donc une victime potentielle !

Vos commentaires
Laissez un commentaire !
  1. rolandro en tant qu'invité
    le 10 février 2014 à 10h14

    Très pédagogique. Merci.

    répondre
  2. riri1969 en tant qu'invité
    le 21 novembre 2006

    Trés bon outil ; Devient vite indispensable. Je ne l'ai installé que sur l'infâme I.E pensant que FF était assez sécur

    répondre
  3. yo4 en tant qu'invité
    le 30 juillet 2005

    je vais pas etre original, mais vraiment bravo et merci.

    répondre
  4. Gen en tant qu'invité
    le 26 juillet 2005

    Génial cet article, on a enfin quelque chose de complet et rempli d'exemples en ce qui concerne les méthodes de phishing et les moyens de se protéger

    Bravo Yann

    répondre
  5. pierromanu en tant qu'invité
    le 26 juillet 2005

    merci pour cet article complet et tout....

    répondre
  6. phildelo en tant qu'invité
    le 22 juillet 2005

    Salut Yann. Je viens tout juste de m'inscrire aux forums Zebulon, après avoir lu ton article. Moi qui parfois achète sur le net, je vais, bien sûr être beaucoup plus vigilent. Félicitations pour celui-ci, il est super et complet. Même moi qui suis novice, j'ai compris et ai fait les vérifs. Encore merci à toi ainsi qu'a ceux qui s'investssent pour les autres.

    répondre
  7. Yann en tant qu'invité
    le 22 juillet 2005

    Merci à vous
    Je profite également de ce commentaire pour remercier ipl_001 pour sa relecture qui a permis la corrections des fautes d'orthographes

    répondre
  8. The Brain en tant qu'invité
    le 21 juillet 2005

    Super article Yann, bien foutu et documenté, bravo !!!!

    répondre
Ecrire un commentaire