Tech

Phishing : Yahoo, le garde des Sceaux

ActualitéClassé sous :Tech , Yahoo , phishing

-

Yahoo teste actuellement aux Etats-Unis une nouvelle technique de lutte contre le phishing, ou « l'hameçonnage ». La parade est la suivante : à l'identification, l'utilisateur associe à son profil une image ou une phrase personnelle. Ensuite, lorsqu'il navigue sur le portail, il n'a plus qu'à vérifier si le sceau choisi apparaît bien en incrustation sur les pages. Si tel n'est pas le cas, méfiance : il s'agit probablement d'un site miroir...

Le sceau d'identification : la nouvelle parade contre le phishing proposée par Yahoo (Crédits : Yahoo)

Vous recevez un courriel aux couleurs de votre banque, semblable à tous ceux que vous aviez reçus jusqu'alors, attirant votre attention sur un problème à régler d'urgence. Vous êtes invité à cliquer sur un lien figurant dans le corps du texte et, intrigué, vous vous exécutez. Vous êtes alors dirigé sur une page web qui, hélas, n'est pas le site officiel, mais une copie parfaite. Sur ce site miroiron vous demande de fournir vos identifiants bancaires. Si vous mordez à l'hameçon, vous êtes alors victime d'une arnaque au phishing.

C'est pour lutter contre la prolifération de ces sites miroirs et pour sécuriser son domaine que Yahoo propose à ses utilisateurs une parade originale : associer à leur compte un sceau personnel, qui apparaîtra sur toutes les pages visitées. Baptisé Yahoo ! Sign in Seal, cet outil associe à l'ordinateur de l'utilisateur une phrase ou une photographie au format jpeg ou gif de son choix. Une fois la manœuvre accomplie, le sceau choisi apparaît sur toutes les pages des services Yahoo. Dans le cas contraire, l'internaute peut avoir de fortes présomptions quant à une tentative de phishing.

Si l'idée est originale, il convient d'y attribuer quelques bémols. Tout d'abord, cette technique anti-phishing ne fonctionne que dans l'univers Yahoo, et seulement sur votre ordinateur : en effet, votre sceau d'authenticité ne sera pas visible si vous vous connectez depuis un ordinateur distant. Ensuite, si vous effacez vos cookies, la parade ne fonctionnera plus.

Pour l'heure, le système est testé aux Etats-Unis. S'il est validé, il ne devrait pas tarder à débarquer en France, ce pays qui, selon l'Antiphishing working group, est le plus touché par le phishing en Europe.

Si la parade proposée par Yahoo a une étendue très limitée - pages et services Yahoo seulement, des sites comme eBay et PayPal pourraient s'en inspirer pour renforcer leur sécurité. D'autant plus qu'ils sont la cible de trois attaques par phishing sur quatre...