Charte « confiance en ligne »
Face aux multiples dérives sur la Toile, le gouvernement tente d’imposer aux opérateurs de télécom et aux prestataires internet (fournisseurs d’accès et éditeurs de contenus), la signature, d’ici le 10 juin 2008, d’une charte dite sur la « confiance en ligne »…
Le document publié en exclusivité par le site PCInpact émane du ministère de l’Intérieur. A la lecture, il s’avère de fait lourd de conséquences pratiques pour les fournisseurs d’accès à l’Internet. Il s’inscrit dans le cheminement de la charte sur les “contenus odieux” de 2004 et les travaux du Forum des Droits de l’Internet afin de construire un internet “civilisé et sécurisé”. C’est Nicolas Sarkozy alors ministre d’État, ministre de l’Intérieur et Philippe Bas, ministre délégué à la Famille, qui avaient décidé de confier à une commission collégiale la gestion d’un label « confiance en ligne ». Cette charte a été présentée par Franck Louvrier (photo Le Figaro), l’omniprésent conseiller pour la communication et la presse à la Présidence de la République. Pour ses lecteurs au fait des derniers développements relatifs à l’évolution des pratiques sur le Net, Presshightech reproduit ici le texte de cette charte dans son intégralité.
La charte Confiance en ligne traduit la volonté du gouvernement de faire de l’internet un environnement le plus sûr possible pour tous les citoyens. Elle s’appuie sur une démarche volontaire des prestataires à prendre part au projet de construire la “civilité et la sécurité de l’Internet”. Dans le prolongement de la charte contre les produits odieux signée le 14 juin 2004, et les travaux au sein du Forum des droits sur internet, les signataires (fournisseurs d’accès, et opérateurs mobiles, fournisseurs de services en ligne et éditeurs) se conforment aux présents engagements sans que ceux-ci n’influent sur le statut juridique de chacun des acteurs de l’lnternet, au regard, notamment, de la loi pour la confiance dans l’économie numérique. Ces engagements s’inscrivent dans un cadre législatif et réglementaire existant en définissant les conditions de bonne application de ces textes par les acteurs de l’internet et les autorités publiques, en tenant compte des évolutions technologiques récentes. Les engagements présentés se conforment également aux récentes recommandations du Conseil de l’Europe adoptées lors de la conférence annuelle OCTOPUS 2008 en avril 2008.
Améliorer la sécurité de l’utilisateur
Mise en avant par les signataires sur leurs produits, home page et via des liens, d’informations et de contenus portant sur : les risques existants en matière de sécurité des données et des équipements (Virus, spywares, logiciels de connexion vers des numéros surtaxés, piratage de connexion, sécurisation Wifi…) ; les moyens techniques à la disposition des internautes pour s’en prémunir et la nécessité de les mettre à jour ; les conseils et bonnes pratiques existants afin d’éviter et de lutter contre le spam (ex. lien vers Signal Spam) ; une information sur les escroqueries et les risques émergents en modéré de délinquance économique sur internet (spam, phishing, captation du numéro de carte bancaire) ainsi que sur les outils permettant de lutter contre ces pratiques et les précautions à prendre en cas de saisie des informations bancaires.
Veiller à la sécurisation de l’équipement
Procéder à une démarche de veille active, sur les risques techniques émergents pour l’utilisateur ; mettre en place une démarche proactive de sécurisation des équipements par des mesures adaptées (ex : information, suspension, résiliation, blocage de certains ports…) auprès des clients mettant en jeu la sécurité du réseau. Préconfigurer les équipements fournis aux utilisateurs afin qu’ils atteignent un niveau de sécurité par défaut optimal selon l’état de l’art. Lutter contre le spam à travers une politique adaptée (filtrage, lien de signalement, application de quotas d’envoi…), en créant une adresse de type « abuse@ » et en participant activement au programme Signal Spam.
Apporter une information générale
Avec la mise en avant par les signataires sur leurs produits, home page et via des liens, de contenus portant sur : les risques d’exposition à des contenus préjudiciables et la procédure de signalement en mettant à dispositiorn les liens d’accès à l’ensemble des plates-formes de signalement existantes ; les enjeux liés à la sauvegarde des données personnelles ; les moyens techniques à la disposition des internautes pour s’en prémunir ; un descriptif des logiciels de contrôle parental et de leurs évaluations (logiciels FAI et en vente dans le commerce) ainsi qu’une aide à leur installation et configuration ; des conseils de vigilance (ex : guide).
Encadrer l’usage des services à travers une charte de l’utilisateur
Avec l’élaboration et la mise en avant par le signataire d’une charte de l’utilisateur reprenant : les règles de droit que tout auteur de contenu doit respecter ; les comportements et contenus autorisés ou interdits sur le service et rappelant les responsabilités en jeu, notamment pour les mineurs ; une sensibilisation et un encouragement à modérer les contenus pour les internautes créateurs de forums, blogs… ainsi qu’une information sur les moyens techniques adéquats. Avec obligation pour les internautes producteurs de contenus d’empêcher les mineurs d’accéder a tout contenu entrant dans le cadre de l’article 227-24 du Code pénal. La possibilité de prévoir contractuellement une modalité de suspension de la possibilité de publier, par des personnes autres que le créateur de l’espace, en l’absence de toute mise à jour, modification, intervention ou modération d’un contenu depuis trois mois; ainsi que l’existence de mesures de suspension ou de suppression de l’espace.
Engagements du signataire sur sa politique éditoriale…
Les espaces interactifs destinés aux mineurs sont contrôlés a priori. Les services et contenus manifestement destinés aux mineurs ne contiennent pas de publicités faisant la promotion de biens ou services inappropriés (ex. services de rencontres adultes, tabac, alcool) ou contraires à la recommandation « enfant » du BVP (bureau de vérification de la publicité). La publicité pour les contenus relatifs à l’article 227-24 du Code pénal ne sont diffusés que dans des zones « adultes » où l’accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de
l’état de l’art. Les contenus entrant dans le cadre de l’article 227-24 du Code pénal ainsi que les liens hypertextes pointant vers de tels contenus ne sont diffusés que dans des zones « adultes n où l’accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de l’état de l’art. Les espaces interactifs destinés aux adultes font l’objet d’un contrôle par un dispositif efficace en fonction de l’état de l’art.
l’état de l’art. Les contenus entrant dans le cadre de l’article 227-24 du Code pénal ainsi que les liens hypertextes pointant vers de tels contenus ne sont diffusés que dans des zones « adultes n où l’accès des mineurs est fortement contrôlé par un dispositif efficace en fonction de l’état de l’art. Les espaces interactifs destinés aux adultes font l’objet d’un contrôle par un dispositif efficace en fonction de l’état de l’art.
Permettre un meilleur signalement de la part des internautes
Avec l’amélioration des procédures de signalement, mettre en avant une procédure de signalement claire, facilement accessible et compréhensible par l’internaute portant sur les contenus produits, diffusés ou hébergés par le signataire. Apporter une réponse rapide aux sollicitations reçues par ce biais et informer l’internaute sur l’existence du point de contact de l’AFA et la plateforme de signalement du Ministère de l’Intérieur. Se doter de procédures internes permettant de réagir correctement et en relation avec les autorités compétentes en cas de signalement de contenus ou de comportements illicites (avec objectif de labélisation…).
Participer à la politique de signalement…
Avec engagements du signataire sur sa politique de signalement : il signale aux autorités les contenus et comportements qui lui ont été notifiés susceptibles de relever des infractions visées aux cinquième et huitième alinéas de l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse (1) et à l’article 22723 (2) du Code pénal. NDLR : (1) Apologie des crimes visés au premier alinéa, des crimes de guerre, des crimes contre l’humanité ou des crimes et délits de collaboration avec l’ennemi. Provocation à la discrimination, à la haine ou à la violence à l’éqard d’une personne ou d’un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée. (2) Représentation d’un mineur présentant un caractère pornographique.
Le signataire de la Charte signale également, dans les mêmes conditions, les contenus et comportements faisant apparaître un risque immédiat pour la sécurité des personnes et des biens. Dans ce dernier cas, et lorsqu’il dispose des données pouvant contribuer à l’identification de l’auteur du contenu concerné, le prestataire accompagne le signalement de ces informations afin de pouvoir empêcher l’atteinte à l’intégrité physique de la personne qui lui a été signalée.
Le signataire s’engage à déférer dans les meilleurs délais aux réquisitions judiciaires…
Il s’efforce de permettre l’identification du titulaire d’une adresse de courrier électronique après réception d’une réquisition et de celui d’une adresse IP auprès du fournisseur d’accès à l’internet suivant la réception du document. Il s’efforce, pour les réquisitions et demandes officielles non standard, à apporter une première réponse (accusé de réception, indication du délai estimé de réponse à la demande, etc). Il s’engage à mettre en place un « service d’obligations légales » performant ou, en cas d’impossibilité, à désigner une personne responsable du traitement des réponses aux réquisitions judiciaires et capable, en cas d’urgence, d’initier le traitement de ces réponses. Ces données sont régulièrement mises à jour et communiquées aux “guichets uniques” mis en place par les services de police et de gendarmerie en liaison avec la délégation des interceptions judiciaires. Ces autorités s’engagent à assurer une mise à jour des coordonnées de ces “guichets uniques”.
Mieux participer au travail des autorités publiques en conservant et en transmettant certaines données…
Le signataire met en place, en application des dispositions législatives et réglementaires, une procédure de conservation et de transmission des données : ainsi il conserve toutes les données de connexion lorsque celles-ci sont nécessaires pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Il détient et conserve les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont il est prestataire. Ces données sont conservées un an. Dans le cadre de la communication des données de connexion, le prestataire communique tous les éléments d’identification en sa possession, conformément à la loi, permettant aux autorités de déterminer l’identité de l’internaute.
Mettre en place une démarche efficiente de retrait et de suspension ou de blocage de certains contenus…
Le signataire met en place une procédure de retrait et de suspension adéquate : ainsi il s’engage à retirer ou à suspendre promptement les contenus sur réquisition des autorités ou sur demande judiciaire. Lorsqu’il procède au retrait d’un contenu et le signale aux autorités, le signataire procède à la transmission d’une copie intégrale des données retirées et la conserve dans le format d’origine. Le signataire s’engage à restituer ou à rétablir les données dans le format dans lesquelles elles s’affichaient avant retrait ou suspension. Dans le cas des sites à caractères pédopornographiques, qui lui sont signalés par le ministère de l’Intérieur, les FAI s’engagent à bloquer l’accès à ces sites par les moyens techniques qu’ils estiment les plus appropriés.
Hoax oups avec hoaxkiller
On ne compte plus les messages non sourcés qui circulent sur le Net. Certains sont des hoax tranférés et retransférés par des collègues de travail, clients, amis, amis d’amis. La plupart de ces hoax présentent les caractéristiques de messages bien construits, argumentés, dont la crédibilité ne semble faire aucun doute…
Pointé par les spécialistes de Hoaxkiller.fr, le levier psychologique classique des hoax est la description d’une situation d’injustice. On l’a par exemple constaté en 2005 lors de la tragédie du Tsunami, avec une profusion de messages de solidarité face à de nombreuses disparitions dans les mois qui ont suivi. Dans un autre registre, cela peut monter d’un cran avec les fausses alertes virales. Des alertes « souvent complètement fictive mais nécessitant une réaction immédiate et toujours identique » (ndr: à savoir prévenir vos contacts en supposant que vous allez faire suivre le message d’un simple clic). Plus grave selon Hoaxkiller, certains hoax sont plutôt qualifiés de viroax, poussant les internautes à mettre en danger la sécurité de leur ordinateur en les incitant par exemple à supprimer un fichier sain appartenant au système d’exploitation (ou à une application courante). Le prétexte souvent avancé est que le fichier “pourrait être un virus”. Les consignes enjoignant alors l’utilisateur à vider illico presto sa corbeille, le laissant alors démuni, ne pouvant plus restaurer son fichier d’origine. Pour les éditeurs de Hoaxkiller, si un hoax arrive jusque dans une boîte de messagerie, c’est qu’il aura passé avec succès l’épreuve de la sélection naturelle et sera susceptible d’abuser n’importe quel internaute non averti. De là l’utilité d’un outil préventif contre ces hoax et autres viroax. (caf d’après hoaxkiller.fr)
Recommandations : par respect pour vos destinataires, ne pas faire suivre ce type de messages par simple tranfert, sans les scanner. Et comme précisé « prendre du recul et si nécessaire valider l’information auprès d’une source sûre, car le doute profitera toujours aux rumeurs et aux canulars ». En pratique : hoaxkiller est un module de vérification de sécurité des messages qui vous sont transmis. L’utilisateur saisit dans le formulaire quelques mots-clés parmi les plus significatifs d’un message douteux ou suspecté d’être un hoax, voire le message dans son entier (par copié-collé), puis lance la recherche. Le résultat s’affiche dans une fenêtre indépendante indiquant un taux de pertinence du message suspect (ndr : j’ai déjà testé son efficacité). A voir sur le site (sécurisé) hoaxkiller.fr, en suivant la visite guidée, ou en le testant sur notre propre site presshightech.com.Cryptage des données numériques
Les processeurs mis en cause
De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (…) bécanes…
Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d’Haïfa et d’Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d’espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu’il s’agisse de crypter, de signer ou de garantir l’intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group “Mathematical Computer Science”, de la Johann Wolfgang Goethe-University (docs en allemand). Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d’une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d’autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d’anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu’à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».
De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (…) bécanes…
Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d’Haïfa et d’Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d’espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu’il s’agisse de crypter, de signer ou de garantir l’intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group “Mathematical Computer Science”, de la Johann Wolfgang Goethe-University (docs en allemand). Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d’une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d’autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d’anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu’à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».
La polémique avait même fait rage entre observateurs. Selon l’hebdomadaire Le Monde Informatique (LMI, publication d’International Data Group, éditeur de Computer World), le quotidien le Monde « faisait saigner la tomate » à propos d’une technique potentielle qui permet de récupérer les clés de cryptage au cœur des processeurs. Pour cet hebdomadaire spécialisé « il est hautement regrettable que la sécurité des systèmes d’information, qui concerne effectivement l’ensemble des citoyens des pays industrialisés, soit encore traitée sur un ton alarmiste et superficiel, entretenant une défiance diffuse et, plus grave encore, le fatalisme ambiant et l’apathie juridique qui en découle, le tout garantissant l’impunité des responsables des causes réelles et sérieuses des milliards d’euros ou de dollars volés chaque année, en particulier les banques et les détenteurs d’informations personnelles qui ne sont toujours pas tenus, en France, d’alerter les victimes potentielles à la suite d’une effraction de leur système d’information, et l’on ne s’y prendrait pas autrement si l’on voulait, sciemment, désinformer une population tout entière pour lui faire supporter les frais d’une dématérialisation des échanges conduite au seul profit des intermédiaires financiers ». Les résultats des travaux de Jean-Pierre Seifert avaient été publiés lors de la conférence RSA, début 2007. Claude A.Frison
Phishing
massiv attack
Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. Dernier exemple connu, durant trois mois, des pirates ont débité 250 comptes chez Nordea (banque suédoise comptant 2 millions de clients). Butin, environ 800 000 euros restitués depuis aux victimes. Depuis l’automne dernier, l’enquête policière a permis d’interpeller une centaine de petits malins recrutés via le Net. Les enquêteurs sont remontés jusqu’aux commanditaires situés en Russie, opérant via des serveurs nord-américains. Autre exemple du même type, le démantèlement début 2006 d’un réseau franco-russe de détournements de fonds. Des internautes français avaient réussi à pénétrer les comptes bancaires d’une soixantaine de leurs compatriotes. Bilan de l’opération pirate : 200 000 euros détournés. Encore une fois les commanditaires de l’opération étaient russes, agissant via une société fictive aux états-Unis. En bref, ils proposaient à des internautes français de recevoir sur leur compte l’argent détourné. Des mules, mais pas des ânes, puisqu’ils percevaient de 1 à 5 % de commissions sur les sommes détournées, une fois avoir reviré le butin récolté vers la tête du réseau. On ne peut pas leur jeter la pierre, les sites bancaires figurent logiquement parmi les plus sécurisés. Mais il est difficile d’obtenir des statistiques précises. Celles-ci ne communiquant que très peu sur ce sujet, on les comprend. Sans doute de peur de dissuader leurs clients d’utiliser leurs guichets en ligne. Des services payants, qui représentent une manne financière constante, non négligeable au bilan. Claude A.Frison
Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. Dernier exemple connu, durant trois mois, des pirates ont débité 250 comptes chez Nordea (banque suédoise comptant 2 millions de clients). Butin, environ 800 000 euros restitués depuis aux victimes. Depuis l’automne dernier, l’enquête policière a permis d’interpeller une centaine de petits malins recrutés via le Net. Les enquêteurs sont remontés jusqu’aux commanditaires situés en Russie, opérant via des serveurs nord-américains. Autre exemple du même type, le démantèlement début 2006 d’un réseau franco-russe de détournements de fonds. Des internautes français avaient réussi à pénétrer les comptes bancaires d’une soixantaine de leurs compatriotes. Bilan de l’opération pirate : 200 000 euros détournés. Encore une fois les commanditaires de l’opération étaient russes, agissant via une société fictive aux états-Unis. En bref, ils proposaient à des internautes français de recevoir sur leur compte l’argent détourné. Des mules, mais pas des ânes, puisqu’ils percevaient de 1 à 5 % de commissions sur les sommes détournées, une fois avoir reviré le butin récolté vers la tête du réseau. On ne peut pas leur jeter la pierre, les sites bancaires figurent logiquement parmi les plus sécurisés. Mais il est difficile d’obtenir des statistiques précises. Celles-ci ne communiquant que très peu sur ce sujet, on les comprend. Sans doute de peur de dissuader leurs clients d’utiliser leurs guichets en ligne. Des services payants, qui représentent une manne financière constante, non négligeable au bilan. Claude A.Frison
Passwords harvesting fishing
Pêche aux mots de passe
Étymologiquement, le terme de « phishing » vient de l’expression anglaise « passwords harvesting fishing » (pêche aux mots de passe), utilisée à l’époque des premières attaques de ce type sur les serveurs d’America Online. En français, il est communément traduit par « hameçonnage ». La technique consiste à faire croire aux internautes qu’ils reçoivent un mail de la part d’un site de confiance qu’ils consultent fréquemment. Une page parfaitement imitée les enjoint à compléter une simple case d’identification par mot de passe, pour authentification. Une fois entré et validé, le tour est joué. A l’insu du particulier, en un éclair, l’attaquant peut se connecter sur la page du client et obtenir des renseignements personnels.Plus grave est la situation quand le pirate, flanqué de ses cyber-acolytes parvient à installer sur le poste client un virus de type troyen (exemple haxdoor.ki). A noter qu’un simple cookie peut contenir ce type de programme. Il s’ajoutera à la base du registre au démarrage du système d’exploitation, se propageant là où il est sensé aller. Une manip d’autant plus facile que beaucoup d’internautes modifient les paramétrages de leurs pare-feux, voire désactivent les contrôles de cookies et de scripts à l’accès, ceci afin d’accélérer la rapidité de leur système, excédés qu’ils sont par les ralentissements que leur fait subir leur programme antiviral. Claude A.Frison
