Safari bientôt banni par PayPal ?

Christophe Laporte |
PayPal réfléchit à suspendre l'accès à son service aux navigateurs web qui ne sont pas dotés de mécanismes visant à combattre l'hameçonnage (phishing). Ce procédé consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance afin de lui soutirer des renseignements personnels.

En indiquant cela, la filiale d'eBay vise en premier lieu Safari, qui n'intègre toujours pas ce type de dispositif. Il y a peu, Michael Barrett de PayPal avait déjà tenu des propos durs contre le butineur d'Apple (lire l'article : Paypal tacle Safari sur la sécurité).

Actuellement, le service de paiement en ligne
recommande essentiellement Internet Explorer 7 pour accéder à son site ou encore dans une moindre mesure Firefox 2.x et Opera 9.1.

À noter la réaction d'Asa Dotzler de la fondation Mozilla, que PayPal a tout a fait raison dans sa démarche. Il explique qu'il est beaucoup plus simple d'arnaquer les gens via l'hameçonnage qu'en exploitant une faille quelconque dans un navigateur web. Par conséquent, les éditeurs doivent faire en sorte de protéger au mieux les utilisateurs contre ce type d'attaques.
avatar KeepAlive | 

Et quelle est la méthode proposée par les navigateurs pour protéger l'utilisateur contre le phishing ?

Il suffit à l'utilisateur de vérifier dans la barre d'URL que le nom du serveur soit celui attendu (www.paypal.com) et pas une imitation, et que le site utilise SSL avec un certificat valide.

Apple se refuse à encombrer ses utilisateurs de plein de messages d'alerte de sécurité comme le fait Microsoft, ils se limitent au strict nécessaire.

avatar jusdei | 

Pis quoi encore, ils commencent à nous les casser... sérieux ces bandes de jaloux du succès du mac...

Déjà qu'avec eBay, pour une mise en vente, dans la phase de description de l'objet, on a pas les possibilités de mises en forme ! ! !

avatar jodido | 

@keepAlive
et bien signaler qu'un site sur lequel on est, est un usurpateur d'identité ce n'est pas encombrer l'utilisateur de plein de message inutile.

Meme si on peut s'interroger de comment on est arrivé sur le site en question...

avatar tomystyle | 

tiens et moi qui pensais etre le seul a avoir des probleme sur le site d'ebay avec safari .........

avatar poco | 

@ tomystyle

+1 pour moi!

avatar imonamac | 

Tout le monde sur Firefox... pi fe tou !

avatar juliengaz | 

Et puis Paypal c'est quand même une sacrée arnaque!

avatar pvmstg | 

Bon les macceux, le apple est pas une religion. Paypal a raison. Il faut penser à l'usager moyen qui ne comprends pas toujours l'informatique, les liens. J'ai perso eu au moins trois hameçonnage pour paypal et au moins un pour desjardins (caisse pop du québec). J'ai pas mordu mais... j'aurais aimé avoir un message me prévenant du fait que l'adresse affichée n'est pas celle qui est générée au lieu de devoir vérifier. Plus il y a de sécurité plus Apple sera pris au sérieux. Après plus de 20 ans avec mac... je reste fidèle mais.... tout n'est pas parfait.

avatar jeanba3000 | 

Perso ça me gave qu'on me prenne pour un demeuré à placer sous tutelle de l'informatique à tout bout de champ.
J'ai un cerveau, j'ai appris à traverser une rue en sécurité en regardant la rue de chaque côté, j'ai aussi appris à faire attention aux intitulés des url. C'est à la portée de n'importe qui, il suffit de vouloir apprendre.
Mais c'est tellement confortable de rester à rien piger, à se reposer sur le autres par paresse intellectuelle, à la merci du marché de l'informatique qui n'espère que ça, garder le consommateur dans un état de dépendance.

avatar TotOOntHeMooN | 

En même temps, se passer de Paypal n'est pas un mal...

avatar majipoor | 

@KeepAlive

Essaie www.paypaI.com pour voir si c'est si simple. Et c'est bien entendu un cas évident, mais il y a des cas beaucoup plus délicats en particulier depuis qu'il est possible de mettre dans les URL des caractères autres que l'ASCII 7bits.

Ceci étant dit, avec Safari 3.1 et son menu Dvelop en standard qui permet de se faire passer pour un autre browser, ça paraît pas très malin comme idée.

Mais c'est vrai que Apple devrait proposer quelque chose contre le phishing.

avatar majipoor | 

Bon... je précis que si ici la fonte fait que le "i" majuscule se distingue du "l" minuscule dans l'affichage, ce n'est pas le cas dans la barre d'URL de Safari :)

avatar lifenight | 

Paypal est un excellent service. Il est normal qu'ils veuillent protéger leurs utilisateurs.

L'anti-fishing est devenu un standard dans les navigateurs, c'est pas pour autant que les utilisateurs sont des assistés, c'est une protection supplémentaire.

avatar Philactere | 

@KeepAlive
Comme le dit jodido je ne penses pas qu'un message signalant une tentative de phishing soit un message d'alerte envahissant...
Ensuite observe un peut autours de toi comme un bon nombre de personnes savent ce qu'est un URL, je vois tous les jours des gens qui au lieu de taper www.monsite.com dans la barre d'adresse de leur navigateur se rendent sur google, tapent www.monsite.com dans le champ de recherche et ensuite cliquent sue le premier lien renvoyé en résultat. Ils sont peut être neuneus mais c'est comme ça, toute personne ne sait pas forcément ce qu'est un URL.
Et pour terminer si je me rends sur http://www.www.ma_banque.com et que j'accède à des opérations en ligne je risque bien d'être redirigé vers https://secure.ssl.ma_banque.com ou un truc du genre ce qui est différent de www.ma_banque.com et peut dérouter un non-averti.

Bref, si toi tu sais (parce que t'es un super pro top user) ce n'est pas le cas pour tout le monde, l'anti-phishing est fait en premier lieu pour eux, si toi tu estime que tu n'as pas besoins d'une mesure de sécurité ce n'est pas une raison pour la refuser aux autres.

avatar strossus | 

Paypal a raison si ce genre de site existe ca veut dire qu'il y a des gens pour se faire avoir donc il faut bien avertir les utilisateurs novices des pièges d'internet car ça doit rester un outil simple à utiliser

avatar Philactere | 

Mon message est aussi valable pour jeanba3000 qui si lui a appris tout le monde doit savoir et tant pis pour les autres qu'ils crèvent.

avatar oomu | 

simple

Firefox 3 va utiliser une base de donnée (qu'on espère maintenu et à jour via l'industrie et les contributeurs) de site qui essaient d'escroquer les gens.

et quand un utilisateur passe sur un tel site, firefox 3 va afficher un GROS message (par défaut, refuser de le lire)

-
cette base de donnée est à l'image des bases de données de spammeurs (les blacklists de serveurs de courriers) que maintiennent déjà les FAI et entreprises.

-
la grosse peur, vient de l'ouverture des noms de domaines internet aux alphabets de toutes sortes. Il existe des symboles coréens, arabes, russes, indiens etc qui se ressemblent et ressemblent à des lettres romanes sans l'être. Unicode permet la distinction pour l'ordinateur, mais pas à l'oeil du lecteur pressé (et si encore il a une police de caractère de qualité, le plus gros écueil)

du coup, il est facile de croire qu'on clique sur Ebay.com mais non on a cliqué sur eby.com" le caractère sanskit ressemblant de loin à un "a", je caricature, mais c'est vraiment un défi qui va se poser TRES bientôt.

le suivi des sites de hameçonnage devient du coup critique.

---

ensuite, on se caAAAalme

rien de tout cela n'est encore vvraiment en place, ie 7 est pas mieux que ie6, Firefox 3 est pas encore dispo, et apple a tout le temps de sortir un safari++

houlalala, grave, tout-va-bien !

avatar .Spirit | 

[quote]pvmstg [18/04/2008 15:13] (effacer) (editer)

Bon les macceux, le apple est pas une religion. Paypal a raison. Il faut penser à l'usager moyen qui ne comprends pas toujours l'informatique, les liens. J'ai perso eu au moins trois hameçonnage pour paypal et au moins un pour desjardins (caisse pop du québec). J'ai pas mordu mais... j'aurais aimé avoir un message me prévenant du fait que l'adresse affichée n'est pas celle qui est générée au lieu de devoir vérifier. Plus il y a de sécurité plus Apple sera pris au sérieux. Après plus de 20 ans avec mac... je reste fidèle mais.... tout n'est pas parfait.[/quote]

Tout à fait ! C'est pas tout le monde qui regarde ses URL. Le monde serait plus simple (et il n'y aurait pas autant de "virus" sur Windows) si la plupart des utilisateurs n'était pas aussi mal informé, pour le fonctionnement global d'internet.

[quote]j'ai aussi appris à faire attention aux intitulés des url. C'est à la portée de n'importe qui, il suffit de vouloir apprendre.[/quote]

Si ça te gave, il me semble que les sécurités tu peux les désactiver. reste que beaucoup de personnes en ont besoin car elles ne sont pas autonomes sur un ordinateur. D'ailleurs vérifier l'adresse du site sur lequel on est... peu de monde le fait, tout simplement car il ne savent pas ce que ça représente...
Y'a qu'à voir le nombre de personnes qui utilisent google pour se rendre sur un site. On leur dit de taper "www.lesiteenquestion.tld", et la plupart tapent ça sur google, et pas dans la barre d'adresse. Donc de là à vérifier l'adresse... ça leur passe à des kilomètres.
Enfin, tu dis qu'ils ne veulent pas "apprendre", mais ces gens qui sont nuls en informatique sont spécialisés dans d'autres domaines, et n'ont pas forcément le temps d'apprendre à utiliser Internet.

avatar .Spirit | 

[quote]TotOOntHeMooN [18/04/2008 15:19] (effacer) (editer)

En même temps, se passer de Paypal n'est pas un mal... [/quote]

Bah si, Paypal m'a rendu de bons services personnellement. C'est quand même bien pratique aujourd'hui, et d'ailleurs ils se penchent sur la sécurité, la preuve, Safari pose problème.
Enfin sinon je pense qu'Apple va réagir, car dans son voeux d'expansion de Safari (avec notamment la version Windows), elle ne peut pas laisser des gros sites comme Paypal lui fermer la porte, ça risque de poser problème.

avatar YAZombie | 

Paypal a parfaitement raison. Safari n'évolue pas dans un monde de Bisounours, la plupart des utilisateurs sont naïfs [b]c'est normal et il n'y a aucune raison que ça change (je le dis dans les deux sens de l'expression)[/b]. Face aux risques, notamment les nombreuses tentatives de phishing, Safari doit apporter une aide aux utilisateurs pour qu'ils puissent les déjouer. Et pour les petits malins qui ne tombent jamais dans les pièges, il suffit tout simplement que ce système soit débrayable: c'est pas compliqué, et c'est toujours la solution pour satisfaire tout le monde.

avatar .Spirit | 

Oops, je viens de voir que quand je postais les gens ont eu le temps de poster, poster, et reposter. En gros j'me suis fait mégagrilled, surtout par Philactère pour le coups de "www.monsite.tld" sur google :D
Désolé.

avatar Philactere | 

Comme le dit oomu, des correspondances graphiques sans être les mêmes lettres existent.
Entre le cyrillique et le latin :
B -> V
3 -> Z
H -> N
P -> R
C -> S
Si pour l'unicode c'est différent pour l'oeil de jeanba3000 c'est pareil..

avatar Orunner | 

@ jeanba3000

Quel manque d'humilité ... quelle vision restreinte des utilisateurs.
Faudrait peut-être voté une loi pour empêcher ceux qui ne savent pas...

avatar .Spirit | 

@Philactère et Oomu: ah ben ça je ne savais pas ! J'me coucherai moins con. D'où la nécessité d'un filtre anti-fishing, d'autant plus à cause de ces correspondances de caractères. :)

Pages

CONNEXION UTILISATEUR