Général

Accueil
Revue de presse
Contactez-nous
Participez

Les menaces

Les honeypots
L'e-commerce
Internet et la vie privé
Les virus, Vers et Hoax
Les Spams et Antispam
TrendMicro
Sécurité en entreprise
Cas concret dans le SI

Divers

Les attaques

DOS
Listes des dictionnaires
Les Scan UDP et TCP
Brute force DNS
Sniffers et Antisniffers
Sniffers et Switchs
Attaque de Switch
Attaque d'HSRP

Les VPN

SSL et TLS

Les Infrastructures

Le Cloud Computing
Ethernet

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE


Le hameçonnage plus vrai que nature, en HTTPS

Des années ont été nécessaires à sensibiliser les utilisateurs au fait que leur navigation "sécurisée" sur des sites comme ceux bancaires, devait être assurée par un "petit cadenas" en bas dans la fenêtre du navigateur. Même, dans la barre d'adresse, la chose totalement incompréhensible pour le commun des mortels et appelée URL par les spécialistes, devait commencer par "HTTPS"...

Puis, il a fallu également expliquer puis sensibiliser les utilisateurs aux certificats HTTPS dits "non sûrs", qui ne génèrent pas de "barre verte", ou qui provoquent un message d'alerte obscur du navigateur.

Il n'était clairement pas dit que ces deux étapes de sensibilisation étaient achevées...

Pourtant, il semble que le pire soit à venir. La raison ?
Tout commence par l'annonce que Microsoft, Apple et Mozilla ont rajouté dans les autorités racines de confiance de leurs systèmes respectifs, StarCom.

StartCom ? éditeur spécialisé dans Linux entre autres, propose la création de certificats SSL gratuits.

Et ensuite ? le fait que Microsoft, Mozilla, et Apple rajoutent l'autorité de certification StartCom au sein de leurs systèmes d'exploitation ou logiciels, fait que les certificats émis par StartCom seront considéréxs comme "sûrs" dans le navigateur.

A partir de là, tout s'enchaine.
N'importe qui, ou presque, pouvant se procurer un certificat HTTPS (j'ai moi-même fait le test, NDLA), il est donc tout à fait possible de créer un site à dessein malveillant, et ... avec un certificat SSL (pour le HTTPS) afin de mettre en confiance l'internaute.

Et là, les chercheurs à ESET ne m'ont pas laissé le temps de le réalisé moi-même, ils ont publié très vite une vidéo démontrant comment réaliser une attaque de hameçonnage (phishing, en bon français) avec une adresse affichant fièrement HTTPS dans l'URL.
Tout pour mettre en confiance, voire même rassurer en cas de doute, l'utilisateur totalement berné !

La vidéo ici :
http://www.eset-la.com/centro-amenazas/videos/phishing-https-english/


Chers lecteurs, vous serez prévenus !



Posté le 15 octobre 2009 par _sebf - source Philippe VIALLE

Recherche


Web AuthSecu

Votre sécurité

38.107.179.224:38592
Décryptez MD5
Décryptez Cisco 7

Les lois et normes

Adresse IP personnelle ?
Logs : Loi anti-terroriste
Le code pénal pour le SI
Les condamnations

Interactif

Forums
Elearning
Multimédia

Les Outils exe

ArpFlood
Cisco7
EnableSecret
Session
SynFlood

La newsletter



1 mail / mois



mot clé : hameconnage attaques https en plus authentification vrai nature news vpn que publié nouvelles securite dos intrusion nouvelle le reseau publication

Copyright © 2006-2010 authsecu.com. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web sécurité implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée de Sécurité. IP VPN LAN Téléphonie entreprise Expert de votre Infrastructure Comparatif ADSL Affiliation FrameIP Telecom