Vous êtes sur le site public du Cert-IST
"PhishTank" un outil pour la lutte contre le phishing

Date :07 Novembre 2006

Publication: Article

Au début du mois d'octobre 2006, un projet de lutte contre le phishing, nommé "PhishTank" a été mis en service.

Il s'agit d'un site web (www.phishtank.com) qui s'est donné comme mission de répertorier les sites de phishing déjà connus. Ce projet fonctionne de la même façon qu'un projet plus ancien nommé "CastleCop PIRT squad", fondé lui en mars 2006 :

  • Il recueille les plaintes des internautes sur les cas de phishing rencontrés.
  • Il vérifie chaque plainte pour s'assurer qu'il s'agit bien d'un cas réel de phishing.
  • Et si le phishing est confirmé, il publie l'URL dangereuse (dans une base des phishings connus), et prévient le site qui héberge le phishing.

 

L'objectif visé est donc de mettre à disposition de tous, une base des phishings "en cours". Cette base peut ensuite être utilisée par des outils comme les "antiphishing toolbars" (que nous décrivons ci-dessous) pour protéger l'internaute en l'avertissant lorsqu'il se rend sur un site de "phishing". Une des caractéristiques de "PhishTank" et de "CastleCop PIRT" est qu'il s'agit de services gratuits, basés sur le bénévolat :

  • Ces projets comptent sur les internautes pour leur signaler des cas de phishing.
  • Et s'appuient sur une équipe de volontaires pour assurer les traitements des plaintes reçues (vérification des plaintes).

Au cours de son premier mois de fonctionnement (octobre 2006) "PhishTank" a traité 7061 phishings, ce qui montre le franc succès que remporte cette initiative ("CastleCop" en traite beaucoup moins).

 

Il existe d'autres projets similaires :

  • "Symantec PhishReport Network" (PRN)
  • "Phishing Initiative"

En fait, lorsqu'un internaute rencontre aujourd'hui un cas de phishing et qu'il souhaite le signaler, il va devoir, dans un premier temps, choisir l'organisation à laquelle il va signaler ce phishing (puisque nous venons de citer 4 services qui sont tous prêts à recueillir ce type de plainte). Les approches de chacun sont un peu différentes et peuvent aider à choisir le site qui parait le plus approprié :

  • "Symantec" et "Milersmile" ont probablement comme but d'attirer les organismes qui souhaitent protéger leurs marques contre les attaques de phishing et proposent des services commerciaux dans ce domaine.
  •  "CastleCop PIRT" se revendique comme faisant un travail d'utilité publique. Au-delà de publier les URL dangereuses, le projet avertit les sites hébergeant ces URL et conservent des traces qui peuvent faciliter des enquêtes ultérieures.
  • "PhishTank" pour sa part met l'accent sur le fait qu'une API existe qui permet à des outils tiers de s'interfacer avec la base de phishing établie. 

 

Pour conclure cet article, nous présentons brièvement une dernière catégorie de service intéressant dans le contexte du phishing : les "antiphishing toolbars". La plus connue des barres d'outils de ce type est celle disponible gratuitement chez "Netcraft" (http://toolbar.netcraft.com). Il s'agit d'une barre d'outils qui peut s'installer dans "Internet Explorer" ou dans "Firefox", et qui surveille toutes les URL visitées par l'internaute. Dès que l'internaute visualise une page, la "toolbar" Netcraft affiche des informations permettant à l'internaute d'estimer si une page est suspecte (niveau de risque estimé par Netcraft, notoriété du site, pays d'hébergement, serveur hébergeant le site web). Netcraft s'appuie aussi sur une base de données des sites hébergeant des phishings, et avertit l'internaute dès que ce dernier essaie de visiter une page référencée dans cette base (fenêtre d'avertissement "Attention vous vous apprêtez à visiter une page connue pour être dangereuse (phishing) : voulez vous continuer ?).

Ce principe de protection est intéressant, et les nouvelles versions des navigateurs web "Firefox" (version 2) et "Internet Explorer" (version 7) intègrent d'ailleurs toutes les deux une fonction de protection "anti-phishing" de ce type.

 

Pour plus d'information :