au sommaire
Les arnaques de type "phishing" sont en forte progression depuis l'an dernier. Aujourd'hui, MicrosoftMicrosoft s'apprête à rendre leur exécution un peu plus difficile : l'éditeur va supprimer la capacité de son navigateur à interpréter correctement un format d'adresse web spécifique, utilisé lors de ces arnaques. En effet, l'outil essentiel dans la mise en place d'une escroquerie de ce type est une adresse web maquillée. Celle-ci est chargée de faire croire à la victime qu'en cliquant dessus elle se retrouvera sur le site de sa banque, par exemple, alors qu'il s'agit en fait d'un site contrôlé par le pirate.
Pour parvenir à ce résultat, les arnaqueurs exploitent un comportement pourtant normal des navigateurs : la possibilité de fournir un nom d'utilisateur et un mot de passe en même temps qu'une adresse web.
Cette technique permet effectivement de maquiller de manière fort crédible une adresse web, mais elle est aussi parfaitement acceptée dans le petit monde du web.
La décision de Microsoft de supprimer purement et simplement le support de ce type d'adressage d'InternetInternet Explorer rendra ainsi le navigateur moins conciliant avec les pirates, au risque toutefois de gêner les sites qui font un usage légitime de ce type d'adressage. Mais à la décharge de l'éditeur, ce comportement n'est plus autorisé spécifiquement dans les RFCRFC d'Internet, comme il l'était auparavant.
Microsoft a publié un document afin d'expliquer son choix et offrir des alternatives aux créateurs de sites qui vont devoir modifier leur manière de travailler. Mais il reste tout de même une question : plutôt que supprimer purement et simplement le support de ce type d'adressage, pourquoi ne pas avoir choisi la solution qui existe depuis très longtemps dans d'autres navigateurs, dont Opera : afficher simplement une fenêtrefenêtre qui indique à l'utilisateur qu'il s'apprête à être dirigé sur tel site (celui du pirate) en fournissant tel et tel mot de passe ?
par LesNouvelles.net
le 9 février 2004
