Les nouveaux navigateurs échouent à restreindre le phishing

Cloud

Les criminels contournent les règles de sécurité, selon les chercheurs
anti-phishing.

Les mesures anti-phishing intégrées aux navigateurs les plus populaires échouent à restreindre l’impact des e-mails qui tentent de voler des données confidentielles. Microsoft Internet Explorer 7 et Mozilla Firefox 2.0 intègrent des listes noires qui préviennent l’utilisateur quand il tente de visiter un site web connu pour ses activités d’hameçonnage.

Les deux éditeurs déclarent avoir arrêté les attaques mais David Jevans, président de l’Anti-Phishing Working Group (APWG) et directeur opérationnel au sein de l’entreprises de sécurité IronKey, a déclaré lors d’une rencontre avec la presse à San Fransisco que cela n’a pas mené à une baisse du nombre de courriels falsifiés.

Les criminels contournent les listes noires en créant un nouveau domaine pour chaque campagne de phishing. Selon David Jevans, le résultat se traduit par une explosion de domaines uniques propres aux activités d’hameçonnage. Les travaux de l’APWG estime que les noms de domaines uniques propres au phishing ont grimpé de 11 976 il y a un an à 37 438 le mois dernier. « La tendance ne va pas dans la bonne direction », estime David Jevans.

Enregistrer des nouveaux domaines pour chaque attaque de phishing accorde aux criminels plusieurs heures d’activité pour voler des informations entre le moment où les messages sont envoyés et celui de la mise à jour des listes noires.

Pour combattre ce fléau à court terme, le porte parole de l’APWG recommande aux éditeurs d’intégrer des technologies heuristiques qui analysent le comportement d’un site web et révèle les pages suspectes. Mais un tel système risque de classer des sites légitimes comme plates-formes de phishing.

La solution à long terme, selon David Jevans, passe par un système d’authentification des sites web et des courriels. Un tel système nécessiterait la coopération de tous les principaux fournisseurs d’accès, des éditeurs et des centres d’hébergement. Une entreprise tellement gigantesque que David Jevans reconnaît que ce n’est pas prêt d’arriver. « Le phishing est là pour durer un certain temps », concède-t-il.

Adapté d’un article de Vnunet.com publié le 20 juin 2007.