Fermer le menu
 

Les bons conseils anti-phishing d'Apple

Florian Innocente | | 06:55 |  15

Dans son dernier billet d'information MobileMe donne (en anglais) une série de conseils pour se prémunir contre les tentatives de phishing (voir aussi l'article Du phishing réussi autour d'Apple).

La Pomme explique d'abord qu'elle n'enverra jamais à ses abonnés de demande d'informations personnelles ou de lien à cliquer . Cette note signale aussi une fiche technique pédagogique : "Identifier les courriers électroniques frauduleux" forte de quelques astuces pour détecter soi-même des courriers et des URL falsifiés.

Apple propose même une adresse, "reportphishing@apple.com", auprès de laquelle signaler ces abus, sur l'air du "Comme le crime en général, le phishing ne peut être complètement éliminé, mais il peut être combattu."

Mais dans sa contribution à la lutte contre le crime organisé sur Internet, Apple a comme omis un aspect du problème. Contrairement à certains éditeurs et des logiciels concurrents, elle n'offre ni dans Mail ni dans Safari aucune disposition anti-phishing. Tenter de responsabiliser les utilisateurs est une chose, les laisser se débrouiller seuls en est une autre.

Sur le même sujet :
Du phishing réussi autour d'Apple

Catégorie : 

Les derniers dossiers

15 Commentaires

avatar Heedoo 01/09/2008 - 07:01

Ils peuvent simplement conseiller d'utiliser Firefox... ;-)

avatar AAleXX 01/09/2008 - 07:19

Est-ce que ces " dispositions anti-phishing" sont efficaces seulement ?

avatar Florian Innocente macG 01/09/2008 - 07:29

@ AAleXX : rien n'est efficace à 100% mais Firefox 3 déjà fait un bon pas en avant avec son système d'alerte.

avatar hirtrey 01/09/2008 - 07:32

@AAleXX: Test firefox et tu verras qu'elles le sont. Le seul problème c'est lors de la création de ces faux sites. Ils ne sont pas encore connus donc pas dans les listes. Comme les virus.

avatar Kartof 01/09/2008 - 09:07

N'avait-on pas à une époque parlé d'une protection anti-phishing dans Safari ? Malgré quelques tests, je ne l'ai jamais vu s'activer. Personnellement, 1Password me protège très bien de ce genre d'attaques (bien que ça se repère assez vite)….

avatar Bibotonio 01/09/2008 - 10:28

Encore le débat fumeux sur les dispositifs anti phising !

C'est du leurre de croire que ces dispositifs sont efficaces !

Car pour moi, un système qui pose problème (pour citer hirtrey) : "lors de la création de ces faux sites. Ils ne sont pas encore connus donc pas dans les listes. Comme les virus."

==> c'est un système inefficace !

C'est comme si on vendait des préservatifs en disant "Monsieur, lors de l'utilisation pour la première fois avec une nouvelle partenaire, il ne vous protège pas, mais une fois qu'il la connaitra, pour les utilisations suivantes, vous serez tranquille"...

Excusez moi, mais franchement c'est du foutage de gueule!

De même, on aura beau mettre tous les systèmes de preotection du monde, même les plus perfectionnés, ça n'aura aucune efficacité si l'utilisateur est crédule et s'il se laisse berner par ce genre de pratique.

Donc encore une fois, contre le phising rien ne vaut l'éducation, l'information et la prévention. Et puis surtout l'usage d'un truc génial qu'on appelle communément "le cerveau".

J'vous jure...

Florian, ou "De l'art de lancer des vieux trolls velus"...

avatar Anonyme (non vérifié) 01/09/2008 - 10:40

Dans Safari se trouve un menu "caché". On y accède par les préférences de l'application, dans l'onglet "avancé" ou "advanced" se touve tout en bas un bouton à cocher qui propose un menu supplémentaire "develop" dans la barre du même nom.
Je n'ai pas beaucoup de connaissance de ce que c'est le Phishing, ( la pêche au gros ?) mais tout en bas de ce nouveau menu se trouve une option qui dit en anglais "disable Site-specifics hacks"
Quelqu'un peut-il nous informer sur ce menu ?

avatar james85 01/09/2008 - 12:22

@Bibotonio
Dire qu'un système est un leurre parce qu'il n'est pas efficace à 100%, ça c'est du foutage de gueule.

Périodiquement, je reçois des emails et Outlook me prévient "attention, les liens dans cet email sont du fishing et ont été désactivés". Je ne sais pas s'il détecte 5% ou 95% des fishing et je m'en fous. En attendant, ceux-là, il les détectent. Et tous les jours, il en détecte un peu plus. Et tous les jours des progrès sont faits.
Imaginons un monde à la Bibotonio : puisque la police est incapable de prévenir 100% des crimes, la police est un leurre et doit être supprimée. Désolé, mais personnellement, je préfère un monde où les anti-phishings sont de plus en plus sophistiqués qu'un monde où on laisse la porte ouverte au crime sous le prétexte que les gendarmes ont toujours un temps de retard sur les voleurs.

Au moins, pendant que les escrocs essayent de mettre au point de nouveaux dispositifs, ils n'ont pas le temps d'exploiter ceux qu'ils ont déjà développés et qui sont bloqués.

Quant à dire "il n'y a qu'à utiliser son cerveau", c'est d'une présomption absolue. Qui peut dire qu'il ne s'est pas fait avoir au moins une fois dans sa vie que ce soit sur Internet ou ailleurs ? Et puis après coup, qui ne s'est pas rendu compte que s'il avait utilisé son cerveau, il ne se serait pas fait couillonner ? J'aimerais bien le connaître, cet être parfait qui a su utiliser son cerveau pour déjouer tous les pièges de la vie. Personnellement, je revendique mon imperfection et je suis bien content que des dispositifs me les signalent, même si eux aussi ne sont pas parfaits.

avatar Tucpasquic 01/09/2008 - 13:47

@Kartof: moi aussi j'ai souvenir, dans les betas, d'avoir vu ca :siffle:
mais dans la RC, rien de tout ca (ca devait etre un partenariat avec Google a l'origine)

avatar Anonyme (non vérifié) 01/09/2008 - 14:51

[quote=La news]La Pomme explique d'abord qu'elle n'enverra jamais à ses abonnés de demande d'informations personnelles ou de lien à cliquer.[/quote]
C'est de la connerie ça.
J'ai reçu un mail de Mobile Me fin juillet pour me dire que mon abonnement se finissait fin août (ce qui est exact) et que les infos de ma carte de crédit devaient être mises à jour parce que la date de validité de ma carte était expirée(ce qui est exact aussi).
Dans le mail, il était indiqué mon nom d'abonné, mon numéro de carte de crédit (avec seulement les 4 derniers chiffres visibles) et le montant de l'abonnement.
[b]Et j'étais invité à cliquer sur un lien pour mettre à jour les informations de ma carte.[/b] Le lien envoyait directement sur la page de login de Mobile Me.
J'ai trouvé ça vraiment bizarre et j'ai donc préféré tapper directement l'url de Mobile Me dans Safari plutot que de cliquer sur le lien.
Mais après avoir "analysé" le mail, rien n'indique qu'il ne provient pas d'apple.

avatar Anonyme (non vérifié) 01/09/2008 - 14:58

Le probleme avec ces applis qui pretendent controler le pishing , vous vous croyez preservé et puis un jour , bingo , ( pour celui qui exerce le pishing :) ) finalement sur ce coup Apple n'a pas tord .

avatar Anonyme (non vérifié) 01/09/2008 - 15:13

Au fait arretez aussi plz ces analogies vaseuses @ la james85 genre " imaginons un monde à la Bibotonio : puisque la police est incapable de prévenir " pourquoi pas aussi " imaginons un monde à la Bibotonio : puisque les portes et les fenetres sont incapables de resister " ou " imaginons un monde à la Bibotonio : puisqu'il faut laver ses fringues autant ne pas en porter " serieux comment deformer l'info " james " va sur un site à sensation tu feras recette .

avatar Bibotonio 01/09/2008 - 15:26

Merci toubaigne !
:-)

Tu as bien résumé mon sentiment : les gens se croient (faussement) en totale sécurité, jusqu'au jour où lis cliquent sur un lien qu'ils pensent être "clean" et paf !

Et ici, je parle bien des consommateurs lambda qui achètent leurs PC dans des grandes enseignes et qui ne sont pas forcément au courant de toutes les techniques de fraudes sur l'Internet. De ceux pour qui un PC "plus puissant" c'est un PC qui a un disque dur de 160Go au lieu de 80Go...
De ceux qui sont intelligents mais qui croient aveuglément à ce qu'on leur raconte sur les nouvelles technologies.

avatar Anonyme (non vérifié) 01/09/2008 - 17:56

et pourtant james85 a raison, et c'est un peu ce que dit Apple aussi avec "Comme le crime en général, le phishing ne peut être complètement éliminé, mais il peut être combattu."
Ayant moi-même un site avec des petites annonces, je vois passer un certain nombre d'escrocs et je vois aussi la naïveté de certains internautes. Quand une arnaque est repérée, même s'il est trop tard pour une personne, je fais en sorte de ne pas laisser la situation pourrir, j'avertis les autres personnes ayant été en contact avec l'arnaqueur et certains évitent ainsi de se faire arnaquer par le même type.
Entre une arnaque ou mille arnaques, la différence devrait sauter aux yeux mais bien sûr, pas à ceux des techos qui aiment croire que tout le monde devrait avoir la même approche qu'eux (et accessoirement, que tout le monde devrait savoir installer un système, coder, regarder le source des pages qu'ils visitent et analyser les headers de tous les contenus reçus).

avatar Yves SG 06/09/2008 - 14:53

@ James et Bibotonio

Un logiciel de protection n'est pas incompatible avec l'utilisation de son cerveau. Le pb c que trop de gens s'appuient sur le premier et négligent complètement l'utilisation du second. Nombre de parents se rassurent avec un "contrôle parental" et laissent leur gamin de 10 ans surfer des heures sur internet tout en échangeant avec eux 3 phrases par jour. Ils délèguent en fait leur devoir de parent, et tombent des nues quand ils s'aperçoivent (parfois trop tard) des dégâts.

Cette semaine encore, une personne que je connais m'a transféré une connerie se prétendant émaner de MSN qui voulait vérifier l'activité effective des adresses afin de supprimer toutes celles qui ne ferrait pas passer ce message ! Et comme cerise sur le gateau, yavait dans le mail des centaines d'adresses des destinataires précédents...

Ce cas comme dans beaucoup prouve effectivement qu'aucun logiciel ne peut prémunir de la bêtise, et surtout de la capitulation neuronale !!!

Yves