Vous êtes sur le site public du Cert-IST
Guide NGS pour la lutte contre le phishing

Date :20 Juin 2005

Publication: Article

NGS a publié ce mois ci un guide de 42 pages qui explique en détail ce que sont les attaques par "Phishing" et comment s'en protéger.

On rappelle qu’une définition-type du phishing est :

Expression désignant des arnaques ("scams") basées sur l'usurpation d'identité. Cette technique du phishing utilise en quelque sorte un courrier "hameçon": les internautes reçoivent un courrier électronique non sollicité qui a l'apparence d'un courrier officiel envoyé par une banque ou un cyber-marchand, et les incite à saisir des données personnelles et bancaires de type "mot de passe" et "login".

Le terme est un mélange de "phreaking", qui consiste à détourner les systèmes téléphoniques, et de "fishing", désignant la pêche à la ligne.

Son succès fait appel aux techniques dites " d’ingénierie sociale " puisque c'est l’utilisateur qui fournit ces informations, en se rendant sur un faux site web l'invitant à donner ses précieux sésames électroniques.

(Définition inspirée de : http://www.zdnet.fr/actualites/internet/0,39020774,39166512,00.htm)

Les mesures de protections qu'il propose s'organisent en trois volets :

  • Protection du poste utilisateur
  • Protection des serveurs web
  • Protection des entreprises

Nous présentons ci-dessous les grands axes de protection pour chaque catégorie. Il faut noter que l'objectif de NSG est d'établir une liste aussi exhaustive que possible des mesures de protection disponibles, et non pas de pousser les lecteurs à appliquer toutes les mesures simultanément. Les avantages et inconvénients de chaque mesure sont d'ailleurs listés dans des tableaux récapitulatifs.

Protection du poste utilisateur

Ces mesures prises au niveau de l’internaute le protègent contre des attaques quel que soit le niveau de sécurité qui a été appliqué au niveau du serveur Web ou de l’accès Internet. Elles sont particulièrement recommandées à un utilisateur résidentiel qui n’a que peu de contrôle sur les deux autres volets.

  • Equiper les postes utilisateurs de logiciels de défenses de type : anti-virus, parefeu personnel et anti-spyware.
  • Utiliser un outil de messagerie simple, n'interprétant pas le HTML (!) et empêchant l'accès aux fichiers attachés ayant une extension dangereuse.
  • Utiliser un navigateur web simple, éviter Internet Explorer (!), et installer des "plug-ins" anti-phishing.
  • Accorder une plus grande confiance aux e-mails signés numériquement, mais bien vérifier l'identité de l'expéditeur (par exemple "@mabanque.org", même signé, est un faux si le vrai nom est "@mabanque.com").
  • Former les utilisateurs pour augmenter leur vigilance face aux tentatives dont ils peuvent être victimes.

Protection des serveurs web

Ces mesures prises au niveau du service rendu correspondent à un niveau de bonne pratique pour toute société offrant un service en ligne. Elles peuvent être considérées comme des mesures qui doivent être rencontrées lors d’un audit sécurité d’un tel site.

  • Communiquer sur le phishing : dire au visiteur d'être prudent, lui donner un moyen de vous signaler les tentatives qu'il détecte, lui expliquer comment vérifier l'authenticité de votre site web.
  • Donner un moyen aux utilisateurs de vérifier que les e-mails qu'il reçoit viennent bien de vous (par exemple en incluant des informations personnelles le concernant dont vous disposez, ou en faisant référence à des e-mails précédents, ou en signant numériquement vos e-mails).
  • Développer des applications web sûres : protégées contre le "cross-site scripting" ou l'injection de code, utilisant un mécanisme de session persistante robuste, utilisant une authentification robuste, etc...
  • Mettre en place des mesures techniques empêchant la copie de site (par exemple avec des images qui se transforme en "image expirée" si elles ne sont pas renouvelées au bout de deux heures).
  • Dans le cas de transactions très sensibles, utiliser des cartes à puce pour authentifier le client.
  • Utiliser des URL simples et lisibles.

Protection des entreprises

Ces mesures, prises au niveau des passerelles et de la politique de sécurité de l’entreprise, sont des mesures complémentaires destinées à protéger les employés et les clients utilisateurs lors de leurs échanges sur le Web en protégeant l’entreprise contre toute action malveillante sur ses services en ligne qui mettrait en cause son image.

  • Configurer la messagerie d'entreprise pour rejeter les e-mails provenant de serveurs douteux
  • Configurer la messagerie d'entreprise pour vérifier la signature électronique des messages entrants et pour signer les messages sortants
  • Surveiller si des noms de domaines proches du votre sont achetés par des tiers
  • Mettre en place des passerelles anti-virus, anti-spam et des proxies de contrôle de contenu
  • Faire appel à des sociétés spécialisées dans la lutte anti-spam et anti-phishing (!).

 

  • Pour plus d'information

The phishing guide : http://www.nextgenss.com/papers/NISR-WP-Phishing.pdf