Smartscreen ne prend pas en compte les signalements ?

Il n'est pas nouveau de dire que la criminalité informatique est bien souvent lié à des considérations financières. Les rapports du CLUSIF par exemple le démontrent, année après année. L'un des maux du moment est certainement le hameçonnage ("filoutage" selon l'ANSSI).

Dans les réponses à cette menace, en tant qu'éditeur lourd du secteur, Microsoft a intégré le système SmartScreen à Internet Explorer. Vous savez, c'est le système qui contribue à rendre Internet Explorer plus sécurisé que les autres navigateurs... Trève de plaisanterie, le système est grosso-modo un filtre anti-hameçonnage, avec fonction collaborative.

Et c'est là le fond du problème. Au cours de mes périgrinations sur la Toile, j'ai remarqué (encore une fois) une bannière sur un site quelque peu douteux, pointant vers un autre site lié aux systèmes de messagerie instantannée type MSN Messenger.

Une rapide analyse tend à craindre que ce site soit (encore) un système de vol des identifiants utilisateur, prétendant vérifier par exemple si les contacts de ce dernier l'ont bloqué ou non.

J'ai donc signalé le site via la fonction "Signaler un site web d'hameçonnage"...  Plus de 24h plus tard, toujours rien. Même après avoir testé à nouveau le site dans Internet Explorer, aucun message d'avertissement.

Cependant, d'autres systèmes de filtrage remontent une alerte pour ce même site, comme McAfee TrustedSource : http://www.trustedsource.org/en/feedback/query?sid=&p=&q=http%3A%2F%2Fveramigos.com%2F

 Petit bilan pour les autres technologies testées :

• Chrome : avertissement,
• Firefox : avertissement
• Safari : avertissement
• SurfControl : rien
• Finjan : rien
• Ironport : rien (http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=www.veramigos.com&action%3ASearch=Search)

Bref, il semblerait que l'intuition de départ n'était pas tout à fait fausse.

J'ai également remonté l'URL à SurfControl (qui ne l'avait pas dans ses bases), il sera intéressant de voir si cela est bien pris en compte.

Cependant, et là je pose ouvertement la question : à quoi sert la fonction "reporter un hameçonnage" dans Internet Explrer 8, si plus de 24h après un signalement, rien ne change ? Certaines campagnes d'attaque ne durent que quelques heures, Microsoft semble donc bien loin du niveau de sécurité qui est censé être assuré aux utilisateurs via un vrai système de filtrage anti-hameçonnage.

En conséquence, et tenant compte du risque de blocage d'URL métier en Entreprise (avec en fait peu de contrôle en central), je ne peux que recommander aux administrateurs de parc de désactiver la fonction SmartScreen sur leurs périmètres, et déporter leurs moyens (humains y compris) sur les réelles solutions de filtrage périmétriques (proxies/MTA/NIPS).

Posté le 20 novembre 2009 par Philippe Vialle