Safari remis à l'index en matière de phishing

Florian Innocente |
Imaginer que l'on est en sécurité parce que l'on navigue sur Internet avec un Mac est une erreur, c'est l'appréciation formulée par ConsumerReports, l'équivalent américain d'un Que Choisir.

Dans une liste de 7 erreurs communes commises en ligne, Consumer Reports pointe du doigt l'utilisation de Safari qui, contrairement à Firefox ou Opera, ne dispose pas d'une fonction de détection des sites pratiquant le phishing. Ou la subtilisation de données personnelles en se faisant passer par un site licite.

Cette absence de protection dans Safari (qui contient tout de même quelques fonctions préventives) a déjà fait l'objet de critiques sans qu'Apple ne s'en émeuve, soit pour en contester la pertinence soit pour indiquer qu'elle s'employait à la corriger. Dans l'attente, Consumer Reports préconise à ses lecteurs de se tenir éloigné du navigateur d'Apple.

Sur le même sujet :
Attention aux tentatives de phishing sur mac.com
Safari bientôt banni par PayPal ?
Paypal tacle Safari sur la sécurité

Tags
#Safari #Firefox #sécurité #Phishing #Consumer Report #Opera
avatar Gimli fils de Gloin | 
De toute facon, Firefox 3 est largement supérieur a Safari, donc bon ... on s'en fiche un peu.
avatar geneosis | 
De toute façon, Safari est largement supérieur à Firefox 3, donc bon ... on s'en fiche un peu.
avatar Anonyme (non vérifié) | 
Quelle remarque pertinente et constructive, Gimli... Chacun trouve dans chaque navigateur ce qu'il veut trouver. Firefox est très bien pour ceux qui aiment la modularité, Safari pour ceux qui recherchent la polyvalence, Flock pour les social monsters, etc, etc (et on oublie pas Camino ou Shiira, hein ;-) ). Mais par pitié, plus de troll sur le sujet... Sinon, Safari dispose tout de même d'un dispositif à minima pour la gestion du phishing. Si après on donne ses coordonnées bancaires à un eBay dont l'URL est jaimecouillonerlesgens.com, faut pas en vouloir au navigateur... Maintenant, imaginez : quelqu'un exploite la faille DNS et la relative insécurité au phishing. Erk, Apple, corrige tout ça, et en vitesse...
avatar romain31000 | 
@Gimli fils de Gloin Réaction très utile.. Perso je préfère utiliser safari mais ces problèmes de sécurité pourraient m'inciter à switcher temporairement, le temps que ces problèmes soient corrigés.
avatar ysengrain | 
Est ce que quelqu'un peut témoigner s'être fait hameçonner ? avec Safari sous Mac ?
avatar melaure | 
@ Gimli fils de Groin, Tu n'as utiliser Netscape 9, pas de problème de fishing !!! :p
avatar Pitouthestar | 
Je suis bien d'accord, c'est vraiment dommage de ne pas avoir ces fonctions sur Safari. Cependant, il faut relativiser. Il faudrait qu'un utilisateur averti soit vraiment crédule pour donner ses coordonnées bancaires sur un site parce que sa "banque" lui a demandé par mail. Aucun site ne demande les coordonnées bancaires par un lien direct dans un mail. C'est un réel problème, et une protection serait la bienvenue, mais il ne faut pas oublier que le premier anti-pishing, c'est l'utilisateur. Ca ne prend pas longtemps de regarder l'URL quand on est sur un site, et d'utiliser une e-Carte Bleue pour payer sur internet. Donc personnellement, pas besoin que safari m'affiche un gros point d'exclamation rouge pour savoir que je ne suis pas sur le bon site... Par contre effectivement, pour la faille DNS, il faut vraiment que ce soit vite corrigé !
avatar eldorado | 
Je veux bien que les fonctions anti-phishing de firefox soient utiles (enfin bon, on pourrait aussi implémenter la fonction "bon sens" dans les utilisateurs...), reste que la conclusion de ConsumerReport est un peu rapide, ils résument "internet sur mac" à Safari et la "sécurité" à l'anti-phishing...
avatar chatlumo | 
Sans être pro Firefox bien que ce soit mon préféré, je trouve génial de pouvoir restaurer ses onglets en cas de plantage (oui ça peut arriver, et sous Safari aussi). D'ailleurs, on peut aussi sauvegarder ses onglets en quittant le navigateur.
avatar studdywax | 
"moi jaime pas Safari" (Schtroumpfs grognon - 2008)
avatar lukasmars | 
"Par contre effectivement, pour la faille DNS, il faut vraiment que ce soit vite corrigé ! " Le probleme d'Apple ,c'est qu'ils ont un grosse tendance à s'envoyer des fleurs ( leopard, le systeme le plus avancé du monde, Safari , le navigateur le plus rapide , leur publicité comparative tres arrogantes vis à vis de la concurrence etc etc .. ) Forcemment quand ils font une boulette comme laisser pendant 24 jours ses clients " le cul a l'air " alors que des systeme libre comme free BSD corrigent la faille le jour même ; franchement; ça craint des masses j'avais entendu le postulat selon lequel la securité d'un systéme ou d'un logiciel repose sur la rapidité avec laquelle l'editeur corrige la faille ...
avatar lemail2mi | 
faut pas exagérer, c'est limite du FUD... La faille DNS touche les serveurs, pas les client, c'est la confiance dans le DNS que vous utilisez qui est en jeux. Il faut toujours vérifier les certificats des sites sécurisés (https). Maintenant, ce qui est reproché à safari c'est le fait de ne pas bloquer automatiquement et ne pas vous mettre un message très contraignant quand le certificat du site n'est pas émis par un serveur connu. Il y a aussi le fait de répertorier toutes les adresses des sites de fishing connus et l'interrogation systématique de la base de donnée. Il ne faut pas jouer sur les peurs des gens pour faire du business... il vaut mieux expliquer les choses au lieu de déclencher la panique.
avatar hellomorld | 
Ce qui est dommage, c'est que les premières infos sur Léopard indiquaient (copies d'écrans à l'appui) que Safari 3 aurait des fonctions antiphishing plus sophistiquées que celles auxquelles on a droit.
avatar Cactaceae | 
Le phishing de mobile.me (qui renvoie vers http://emiconsulting.com.au/store.apple.com/us/) n'était bloqué nulpart le jour où il m'est tombé dessus. Aujourd'hui FireFox le bloque automatiquement mais le 31 juillet ce n'était pas le cas ! Donc il faut éviter de penser qu'on est en sécurité avec l'anti-phishing. C'est juste une liste de site frauduleux mise à jour… bon ça dépanne quand même. Mais encore une fois ce n'est pas la panacée.
avatar josephsardin | 
Dites moi, non pas que je ne sache pas ce que c'est le fishing, il faut avouer que mon super Firefox 3 ne m'a jamais dis que j'étais sur un site de ce type. Alors soit ça sert à rien pour les gens qui utilise correctement internet, soit ça marche pas. Mais j'ai comme l'impression que, sous prétexte que les gens sont bêtes, ils faut les assister au maximum. Il faudrait aussi vendre un chauffeur avec les voitures pour éviter les accidents.
avatar Hak | 
"Maintenant, imaginez : quelqu'un exploite la faille DNS" La faille DNS a été corrigé et de toute manière sous les sytèmes clients (Mac OS X client), BIND (le serveur DNS utilisé par Apple) est désactivé par défaut donc la majorité des utilisateurs lambda n'était pas exposé à cette faille !!! "Forcemment quand ils font une boulette comme laisser pendant 24 jours ses clients " le cul a l'air " alors que des systeme libre comme free BSD corrigent la faille le jour même ; franchement; ça craint des masses " Cf remarque plus haut. Le correctif était de toute façon bugé, des problèmes de performance sont apparus et les systèmes BSD se sont retrouvé avec une régression importante lors de grosses requètes. Donc je suis pas sûr que balancer un patch bugé soit la meilleur des solutions. "c'est l'appréciation formulée par ConsumerReports, l'équivalent américain d'un Que Choisir. " Ouai en tous cas sa montre que le Que Choisir américain n'est pas plus proféssionnel que le notre....
avatar Un Vrai Con | 
Et ce n'est pas [url=http://www.generation-nt.com/faille-dns-apple-ncircle-kaminsky-correctif-actualite-133741.html][b]Fini[/b][/url]
avatar PA5CAL | 
Comme il a été dit plus haut, d'une part l'utilisateur est le premier filtre anti-phishing, et d'autre part la sécurité ne se résume pas qu'à cela (et de ce point de vue, contrairement à ce qu'on voudrait nous faire croire, on n'est pas non plus totalement à l'abri en surfant avec Firefox ou Opera). De plus, je trouve totalement inacceptable le système anti-phishing qui fait des accès non sollicités à des serveurs américains sous prétexte de vérifier dans leur base de données que les sites que je consulte sont "clean". Même si elle est présentée comme une protection contre des tentatives de malversation (très hypothétiques, et même pratiquement impossibles dans mon cas compte tenu de mon usage d'Internet), la divulgation systématique de la liste de ces sites n'en reste pas moins une violation de ma vie privée. Gare, les promoteurs d'un tel système sont des Big Brothers en puissance ! Donc, tout bien considéré, je pense que je vais encore longtemps utiliser Safari... du moins tant qu'il n'intègre pas d'anti-phishing.
avatar skhattane | 
Allez encore un petit effort et à chaque bouton cliquer on vous demandera 24 fois si c bien vous qui venez de cliquer sur ce bouton et si c 'est bien l'action que vous désirer exécuter. Désolé mais si c pour faire de safari un windows vista like, bein je préfère largement un navigateur pour gens doté d'un QI à 2 chiffres.
avatar lol51 | 
C'est quand même marrant les filtres anti-fishing : Admettons que je sois un utilisateur lambda qui fait entièrement confiance à son filtre anti-fishing. Je vais sur www.creditagogole.fr, je rentre mes coordonnées bancaires sans remarquer la supercherie. Et pour cause c'est un site piège-à-poisson éphémère (comme dans les 99% des cas...). Conclusion : mon superbe filtre ne m'aura été d'aucune utilité !
avatar zenx | 
Ok Safari est sûrement en retard de ce côté la. Pour autant, j'utilise Safari depuis sa version 1 et j'en suis pas mort. J'ai déjà reçu des mails bidons me demandant de me connecter pour taper mon numéro de CB ou pour récupérer d'autres informations personnelles et jusqu'à présent je ne suis jamais tombé dans le panneau !. Toutes ces protections anti-hameçonnage sont un plus indéniable, mais néanmoins restent pour moi des options dont je peux facilement me passer. Alors dire qu'il faut éviter un navigateur parce qu'il ne propose pas les mêmes dispositifs anti-arnaque que son voisin est un tout petit peu fort de café !. Faut arrêter de prendre les gens pour des neuneux. De plus, on a suffisamment d'information sur le sujet aujourd'hui et sur d'autres pour ne pas se faire avoir. Suffit simplement de faire un peu attention !...
avatar Philactere | 
Me font bien marrer tous ces petits prétentieux qui sous prétexte qu'ils savent comment éviter le phishing en lisant l'URL décrètent qu'un filtre est inutile et que l'utilisateur de base n'a qu'à se faire pigeonner si il est con... (du reste on est tous le con de quelqu'un pour une raison ou une autre). Vous vient-il à l'idée qu'un ordinateur personnel (celui justement que Apple produit en se ventant d'être à la portée de tout le monde) est utilisé de nos jour par énormément de personnes quelque soit leur habitudes et éducation informatique ? Toi t'es super top balaize pour démasquer le phishing mais t'es une vrais beuse pour un tas d'autres trucs complètement élémentaires et intuitifs pour certains autres peut être newbies en informatique, pourtant ils ne te crachent pas à la figure. Il t'es venu à l'idée petit prétentieux que certaines personnes désirant aussi utiliser un ordinateur à la maison n'ont personne pour leur enseigner le b.a.-ba ? Et pour terminer mon coup de gueule, sache josephsardin, que pour conduire une voiture il faut un permis délivré par des autorités compétentes donc une fois de plus le parrallèle avec la voiture est nul.
avatar Philactere | 
Bref ceci pour dire qu'un filtre anti-phishing comme tout autre dispositif non contraignant destiné à améliorer la sécurité des plus faibles est une bonne chose et Apple serait bien avisé de l'intégrer, elle qui est le chantre de l'informatique pour tous. Puisque ça ne semble pas émouvoir Apple et qu'elle a du mal à terminer son job d'éditeur c'est une bonne chose que certains rappellent ce problème, encore une fois pour les plus faibles, les autres n'en ont pas besoin et c'est tant mieux pour eux.
avatar Cactaceae | 
@Philactere : tu as raison. Mais il faut comprendre que ces filtres d'anti-phishing sont souvent inefficaces car périmés ou bien pas encore mis-à-jour. Lors d'un nouveau phishing, le site frauduleux n'est pas encore référencé, l'utilisateur lambda a toutes les chances de se faire avoir, FireFox ou pas, alors qu'il peut penser qu'il est protégé. Donc il ne s'agit pas d'être prétentieux (tu es d'ailleurs insultant) quand on déclare que la meilleure des protections est de vérifier l'url et qu'au moindre doute, s'abstenir. Évidemment ici traînent beaucoup de vieux loups de la mer Internet à qui ont la fait pas. Est-ce une raison de nous insulter ? Mais tu as le mérite de mettre le doigt là où ça flanche : l'éducation. Et ce n'est pas en faisant croire qu'on est en sécurité sur FF (et pas sur Safari) qu'on fera avancer l'intérêt général.
avatar Philactere | 
Oui FabriceG je suis parfois insultant et là je l'était volontairement parce que je voulais justement pousser un coup de gueule. Moi aussi je suis un vieux loup mer Internet mais j'essaie de me mettre à la place d'autres personnes. C'est fini le temps de l'informatique pour quelque rares initiés, aujourd'hui c'est tout le monde qui est derrière un ordinateur, au boulot ou à la maison pour son loisir ou des tâches domestiques. Parmi ces gens il y a des gens plus fragiles que d'autres, plus naïfs ou simplement temporairement plus ignorants. La meilleure protection tu l'a rappelé c'est de vérifier sois-même l'adresse, les filtres anti-phishing comme tu le dis ne sont pas LA solution et je te donne entièrement raison quant tu dis qu'une fausse sécurité illusoire peut être néfaste, c'est pour ça que l'anti-phishing doit également être accompagné de prévention c'est vrais. Désolé que tu ais pris l'insulte pour toi elle ne t'était probablement pas destinée vu le bon sens de ton propos. Je pensais plutôt à quelque uns qui plus tard apprendront que le monde est pluriel.
avatar Anonyme (non vérifié) | 
Non, décidemment, je trouve ton propos insultant. Il n'y a pas d'utilisateurs ignorants, il n'y a que des débutants, et d'autres qui le sont moins (mais qui auront toujours quelque chose à apprendre, sinon à quoi bon?). Si je pensais qu'il y avait des ignorants, je ne prendrais pas la peine de créer des sites dédiés aux débutants. Et tu sais quoi? Ils marchent, ce qui prouvent que les débutants sont des gens raisonnables qui ont compris que pour bien se servir de sa machine, il fallait, de temps en temps, ne pas présumer de ses forces. On ne fait pas l'ascenscion du Mont Blanc quand on vient de commencer l'escalade... Encore une fois, on a trop de fait de mal à l'informatique en disant que c'était un truc imbuvable réservé à des barbus. Ce n'est pas l'outil qui est limitant, c'est son utilisateur, et sa capacité à être raisonnable. Je ne tripote pas le Terminal à tout va, parce que je sais que je peux potentiellement casser quelque chose. Alors quand on reçoit un mail tendancieux (et souvent très mal traduits, ce qui devrait mettre la puce à l'oreille sans même aller chercher les détails de l'expéditeur), alors même que Paypal, vos banques et X autres organismes vont ont prévenu qu'elles ne vous enverront jamais de mail vous demandant vos coordonnées bancaires, soit on ignore la chose, soit on passe un coup de fil à quelqu'un, soit on renseigne, mais en aucun cas on ne clique, surtout quand on connait la faiblesse des protections. Alors, je suis d'accord qu'il faut qu'Apple implémente une protection anti-phishing, tout en me demandant dans quelle mesure elle sera efficace face à des utilisateurs qui ne sont pas toujours raisonnables, et des pirates toujours plus aggressifs. Et il ne faut surtout pas que cela se fasse au détriment de l'expérience utilisateur, qui est déjà assez dégradée comme cela sur l'autel de la sécurité; regardez ce qui se fait dans le monde d'en face. Alors je suis d'accord que l'éducation est importante...
avatar Anonyme (non vérifié) | 
... mais on ne peut pas se cacher derrière un 'je ne savais pas' tout le temps. 'Je ne savais pas que j'allais mourir si, malgré mon expérience de deux mois d'escalade, j'ai tenté le Mont Blanc'. Hum. Parfois, il faut dire les choses comme elles sont : l'utilisateur n'est pas toujours tout blanc. Heureusement, de nombreux débutants l'ont compris, et se documentent un minimum avant de faire n'importe quoi dans leur machine (clefs de registre, Terminal, etc...).
avatar lol51 | 
@ Philactere > Tu parles... à moi ? Si tu relis bien ce que j'ai marqué, je n'ai jamais pris l'utilisateur pour un imbécile, j'ai simplement dis qu'un filtre anti-fishing n'apporte qu'une protection limitée. Après relax, faut pas s'énerver pour ça, et puis on peut pas convaincre le monde entier, surtout sur internet.

CONNEXION UTILISATEUR