Il était en forme ce jour-là, Jonathan Zdziarski, lorsqu’il a écrit « Cliquez sur le lien ci-après, ou les mauvaises habitudes qui fabriquent les victimes de la fraude en ligne ». Et ce membre de l’Avert Lab de recenser les principales énormités rencontrées sur les sites bancaires, les serveurs de vente en ligne, les Web officiels et autres institutions au demeurant respectables. Voici, de manière résumée, les reproches que Zdziarski adresse aux grands de l’Internet :
Cliquez ici : Malgré les milliers d’avertissements, il existe encore des entreprises qui expédient des emails contenant des liens actifs… comment alors expliquer au public le bien fondé de certaines « bonnes pratiques » ? L’équipe de CNIS, il y a fort longtemps, avait dénoncé les dangers d’un lien actif situé dans un courriel « signé » par Monsieur Patrick Bruel. Il n’y a pas si longtemps, c’était au tour d’Alain Souchon de nous offrir « Parachute Doré » en téléchargement et email-propagande… comment faire comprendre à Alain Souchon qu’il n’y a pas qu’Alain Souchon qui peut se cacher derrière Alain Souchon ?
Collez ce lien : Fort de la leçon précédente, certains mercantis conseillent de « couper-coller » une adresse dépourvue de lien, afin probablement d’écarter tout risque de spoofing d’adresse. Non seulement les récentes attaques en DNS Hijacking et DNS Spoofing peuvent rendre cette mesure totalement caduque, mais encore rien ne vient éliminer le risque d’une attaque en ingénierie sociale. Un simple typosquatting, une appellation approchante passera inaperçue aux yeux de la victime. D’autant plus inaperçue qu’il est de plus en plus fréquent de visiter des sites légitimes dont les adresses affichées reflètent tantôt une tierce partie sous-traitante, tantôt l’adresse d’un proxy d’équilibrage de charge, tantôt une dénomination arbitraire décidée par le Webmestre pour des raisons qui ne regardent que lui.
Domaines d’identification multiples. C’est là une pratique fréquente sur les sites bancaires. Il n’est pas rare qu’au cours d’une session (voir chapitre précédent), le domaine inscrit dans la barre d’adresse change au gré des services, voir quitte totalement le domaine principal pour être remplacé par celui d’un intermédiaire spécialisé dans l’authentification.
Pages d’authentification multiples : Abondance de bien ne nuit pas. En multipliant les séquences « login/mot de passe » pour accroître les contrôles de sécurité entre différents services d’un même site, l’on atténue la vigilance de l’utilisateur… lequel peut alors donner ses Sésames par réflexe au premier écran glissé au hasard d’une faille html.
Connectez-vous pour vérifier votre compte : Reconnaissons que ce genre de pratique n’existe pas en France. Mais, avec deux doigts de pression psychologique, quel client ne paniquerait-il pas et tenterait, sans réfléchir, de se connecter sur une page ressemblant à s’y méprendre à celle du site d’origine ? Ce vieux classique du phishing mériterait une véritable évangélisation de la part des banques, et la mise en place, conseille notre gourou de l’Avert, d’un service téléphoné rapide et efficace. Reste que ce genre de conseil doit être entouré d’une foultitude de procédures d’authentifications réciproques… on fait de si belles choses, de nos jours, avec un simple système VoIP.
Les images de sécurité : Le remplacement des captcha –souvent cassés- par des filtres de Turing utilisant des photographies peuvent également faire l’objet de spoofing. Ouvrons ici une parenthèse pour signaler que c’est également le cas des « claviers virtuels » qu’utilisent encore certains organismes bancaires. Ce qui « sent » la technologie n’est pas « de facto » infaillible.
Glissons également, ajoute Jonathan Zdziarski, sur les fausses bonnes idées, notamment celles contraignant les usagers à employer un mot de passe fort… et en les persuadant qu’une telle habitude les met à l’abri de tout type de piratage. Un mot de passe aussi complexe soit-il peut fort bien s’éventer à la première attaque en phishing.
L’on pourrait ajouter bien d’autres mauvaises habitudes frisant parfois la complicité coupable. Par exemple, à l’heure où même un enfant de 15 ans est capable d’expliquer ce qu’est une attaque iFrame, comment peut-on encore entendre dire que « la petite clef en bas à droite de l’écran prouve que l’on ne peut pas être piraté ? Passons également sur les documents protégés par un certificat que personne ne vérifie, ou les prétendus cerbères biométriques qui ne protègent généralement que le temps d’une vesprée.
Maintenant que sont listés les 7 péchés capitaux des mauvaises pratiques bancaires, il serait peut-être intéressant que l’équipe de l’Avert nous offre un rapport sur les 7 piliers de la sagesse en matière de gestion des comptes en ligne.