Et quelle est la méthode proposée par les navigateurs pour protéger l'utilisateur contre le phishing ?

Il suffit à l'utilisateur de vérifier dans la barre d'URL que le nom du serveur soit celui attendu (www.paypal.com) et pas une imitation, et que le site utilise SSL avec un certificat valide.

Apple se refuse à encombrer ses utilisateurs de plein de messages d'alerte de sécurité comme le fait Microsoft, ils se limitent au strict nécessaire.

Pis quoi encore, ils commencent à nous les casser... sérieux ces bandes de jaloux du succès du mac...

Déjà qu'avec eBay, pour une mise en vente, dans la phase de description de l'objet, on a pas les possibilités de mises en forme ! ! !

@keepAlive
et bien signaler qu'un site sur lequel on est, est un usurpateur d'identité ce n'est pas encombrer l'utilisateur de plein de message inutile.

Meme si on peut s'interroger de comment on est arrivé sur le site en question...

tiens et moi qui pensais etre le seul a avoir des probleme sur le site d'ebay avec safari .........

@ tomystyle

+1 pour moi!

Tout le monde sur Firefox... pi fe tou !

Et puis Paypal c'est quand même une sacrée arnaque!

Bon les macceux, le apple est pas une religion. Paypal a raison. Il faut penser à l'usager moyen qui ne comprends pas toujours l'informatique, les liens. J'ai perso eu au moins trois hameçonnage pour paypal et au moins un pour desjardins (caisse pop du québec). J'ai pas mordu mais... j'aurais aimé avoir un message me prévenant du fait que l'adresse affichée n'est pas celle qui est générée au lieu de devoir vérifier. Plus il y a de sécurité plus Apple sera pris au sérieux. Après plus de 20 ans avec mac... je reste fidèle mais.... tout n'est pas parfait.

Perso ça me gave qu'on me prenne pour un demeuré à placer sous tutelle de l'informatique à tout bout de champ.
J'ai un cerveau, j'ai appris à traverser une rue en sécurité en regardant la rue de chaque côté, j'ai aussi appris à faire attention aux intitulés des url. C'est à la portée de n'importe qui, il suffit de vouloir apprendre.
Mais c'est tellement confortable de rester à rien piger, à se reposer sur le autres par paresse intellectuelle, à la merci du marché de l'informatique qui n'espère que ça, garder le consommateur dans un état de dépendance.

En même temps, se passer de Paypal n'est pas un mal...

@KeepAlive

Essaie www.paypaI.com pour voir si c'est si simple. Et c'est bien entendu un cas évident, mais il y a des cas beaucoup plus délicats en particulier depuis qu'il est possible de mettre dans les URL des caractères autres que l'ASCII 7bits.

Ceci étant dit, avec Safari 3.1 et son menu Dvelop en standard qui permet de se faire passer pour un autre browser, ça paraît pas très malin comme idée.

Mais c'est vrai que Apple devrait proposer quelque chose contre le phishing.

Bon... je précis que si ici la fonte fait que le "i" majuscule se distingue du "l" minuscule dans l'affichage, ce n'est pas le cas dans la barre d'URL de Safari :)

Paypal est un excellent service. Il est normal qu'ils veuillent protéger leurs utilisateurs.

L'anti-fishing est devenu un standard dans les navigateurs, c'est pas pour autant que les utilisateurs sont des assistés, c'est une protection supplémentaire.

@KeepAlive
Comme le dit jodido je ne penses pas qu'un message signalant une tentative de phishing soit un message d'alerte envahissant...
Ensuite observe un peut autours de toi comme un bon nombre de personnes savent ce qu'est un URL, je vois tous les jours des gens qui au lieu de taper www.monsite.com dans la barre d'adresse de leur navigateur se rendent sur google, tapent www.monsite.com dans le champ de recherche et ensuite cliquent sue le premier lien renvoyé en résultat. Ils sont peut être neuneus mais c'est comme ça, toute personne ne sait pas forcément ce qu'est un URL.
Et pour terminer si je me rends sur http://www.www.ma_banque.com et que j'accède à des opérations en ligne je risque bien d'être redirigé vers https://secure.ssl.ma_banque.com ou un truc du genre ce qui est différent de www.ma_banque.com et peut dérouter un non-averti.

Bref, si toi tu sais (parce que t'es un super pro top user) ce n'est pas le cas pour tout le monde, l'anti-phishing est fait en premier lieu pour eux, si toi tu estime que tu n'as pas besoins d'une mesure de sécurité ce n'est pas une raison pour la refuser aux autres.

Paypal a raison si ce genre de site existe ca veut dire qu'il y a des gens pour se faire avoir donc il faut bien avertir les utilisateurs novices des pièges d'internet car ça doit rester un outil simple à utiliser

Mon message est aussi valable pour jeanba3000 qui si lui a appris tout le monde doit savoir et tant pis pour les autres qu'ils crèvent.

simple

Firefox 3 va utiliser une base de donnée (qu'on espère maintenu et à jour via l'industrie et les contributeurs) de site qui essaient d'escroquer les gens.

et quand un utilisateur passe sur un tel site, firefox 3 va afficher un GROS message (par défaut, refuser de le lire)

-
cette base de donnée est à l'image des bases de données de spammeurs (les blacklists de serveurs de courriers) que maintiennent déjà les FAI et entreprises.

-
la grosse peur, vient de l'ouverture des noms de domaines internet aux alphabets de toutes sortes. Il existe des symboles coréens, arabes, russes, indiens etc qui se ressemblent et ressemblent à des lettres romanes sans l'être. Unicode permet la distinction pour l'ordinateur, mais pas à l'oeil du lecteur pressé (et si encore il a une police de caractère de qualité, le plus gros écueil)

du coup, il est facile de croire qu'on clique sur Ebay.com mais non on a cliqué sur eby.com" le caractère sanskit ressemblant de loin à un "a", je caricature, mais c'est vraiment un défi qui va se poser TRES bientôt.

le suivi des sites de hameçonnage devient du coup critique.

---

ensuite, on se caAAAalme

rien de tout cela n'est encore vvraiment en place, ie 7 est pas mieux que ie6, Firefox 3 est pas encore dispo, et apple a tout le temps de sortir un safari++

houlalala, grave, tout-va-bien !

[quote]pvmstg [18/04/2008 15:13] (effacer) (editer)

Bon les macceux, le apple est pas une religion. Paypal a raison. Il faut penser à l'usager moyen qui ne comprends pas toujours l'informatique, les liens. J'ai perso eu au moins trois hameçonnage pour paypal et au moins un pour desjardins (caisse pop du québec). J'ai pas mordu mais... j'aurais aimé avoir un message me prévenant du fait que l'adresse affichée n'est pas celle qui est générée au lieu de devoir vérifier. Plus il y a de sécurité plus Apple sera pris au sérieux. Après plus de 20 ans avec mac... je reste fidèle mais.... tout n'est pas parfait.[/quote]

Tout à fait ! C'est pas tout le monde qui regarde ses URL. Le monde serait plus simple (et il n'y aurait pas autant de "virus" sur Windows) si la plupart des utilisateurs n'était pas aussi mal informé, pour le fonctionnement global d'internet.

[quote]j'ai aussi appris à faire attention aux intitulés des url. C'est à la portée de n'importe qui, il suffit de vouloir apprendre.[/quote]

Si ça te gave, il me semble que les sécurités tu peux les désactiver. reste que beaucoup de personnes en ont besoin car elles ne sont pas autonomes sur un ordinateur. D'ailleurs vérifier l'adresse du site sur lequel on est... peu de monde le fait, tout simplement car il ne savent pas ce que ça représente...
Y'a qu'à voir le nombre de personnes qui utilisent google pour se rendre sur un site. On leur dit de taper "www.lesiteenquestion.tld", et la plupart tapent ça sur google, et pas dans la barre d'adresse. Donc de là à vérifier l'adresse... ça leur passe à des kilomètres.
Enfin, tu dis qu'ils ne veulent pas "apprendre", mais ces gens qui sont nuls en informatique sont spécialisés dans d'autres domaines, et n'ont pas forcément le temps d'apprendre à utiliser Internet.

[quote]TotOOntHeMooN [18/04/2008 15:19] (effacer) (editer)

En même temps, se passer de Paypal n'est pas un mal... [/quote]

Bah si, Paypal m'a rendu de bons services personnellement. C'est quand même bien pratique aujourd'hui, et d'ailleurs ils se penchent sur la sécurité, la preuve, Safari pose problème.
Enfin sinon je pense qu'Apple va réagir, car dans son voeux d'expansion de Safari (avec notamment la version Windows), elle ne peut pas laisser des gros sites comme Paypal lui fermer la porte, ça risque de poser problème.

Paypal a parfaitement raison. Safari n'évolue pas dans un monde de Bisounours, la plupart des utilisateurs sont naïfs [b]c'est normal et il n'y a aucune raison que ça change (je le dis dans les deux sens de l'expression)[/b]. Face aux risques, notamment les nombreuses tentatives de phishing, Safari doit apporter une aide aux utilisateurs pour qu'ils puissent les déjouer. Et pour les petits malins qui ne tombent jamais dans les pièges, il suffit tout simplement que ce système soit débrayable: c'est pas compliqué, et c'est toujours la solution pour satisfaire tout le monde.

Oops, je viens de voir que quand je postais les gens ont eu le temps de poster, poster, et reposter. En gros j'me suis fait mégagrilled, surtout par Philactère pour le coups de "www.monsite.tld" sur google :D
Désolé.

Comme le dit oomu, des correspondances graphiques sans être les mêmes lettres existent.
Entre le cyrillique et le latin :
B -> V
3 -> Z
H -> N
P -> R
C -> S
Si pour l'unicode c'est différent pour l'oeil de jeanba3000 c'est pareil..

@ jeanba3000

Quel manque d'humilité ... quelle vision restreinte des utilisateurs.
Faudrait peut-être voté une loi pour empêcher ceux qui ne savent pas...

@Philactère et Oomu: ah ben ça je ne savais pas ! J'me coucherai moins con. D'où la nécessité d'un filtre anti-fishing, d'autant plus à cause de ces correspondances de caractères. :)

Je voudrais bien savoir combien de personnes ont été victimes de pishing sur Paypal via Safari ? Pas une estimation ou des élucubrations théoriques, mais des exemples précis et référencés.

Parallèlement, combien avec Internet Explorer ? Combien via un courriel piégé ? La seule tentative de fishing que j'ai eu l'occasion de rencontrer en plus de deux ans était un mail soi-disant de Paypal et peu de temps après l'être inscrit sur Ebay. N'ayant pas de compte Paypal à l'époque, le message m'avait laissé perplexe. Une recherche Google avait fini de m'éclairer.

Maintenant, je ne trouve pas normal que certains s'arrogent le droit de décider à ma place quel navigateur je dois utiliser. Merde ! Je suis adulte responsable et je ne vois pas pourquoi ma liberté de choix serait limitée pour des idiots congénitaux qui ne font pas attention et lisent la moitié des informations sur les pages qu'ils visitent et ignorent les fonctions de sécurité de leurs navigateurs.

Paypal ferait mieux de s'occuper des fraudes au paiement sur son service et de protéger ses utilisateurs que de dire aux autres ce qu'ils doivent faire.

oomu, ça existe déjà dans Firefox 2, pas la peine d'attendre le 3.
J'ai déjà eu l'occasion de l'expérimenter, c'est simple et efficace et tu peux signaler un site contrefait par le menu aide.
Ça ne devrait pas être très compliqué à implémenter dans Safari.

Paypal est une boite d'incapable. A l'époque ou j'ai utilisé leurs services à titre de vendeur et pas d'acheteur, ils ont accepté jusqu'à 7000 euros de transactions délictueuses (CB volées) sur mon site de vente. Les ayant alerté à maintes reprises durant ces paiements qui commençaient à m'intriguer, ils n'ont jamais répondu, puisque les provisions arrivaient sur le compte et semblaient correctes jusqu'au moment ou ils ont commencé à me remonter des rejets de débits. Cela ils l'avaient bien camouflé dans leurs CGV. C'est le vendeur qui rembourse Paypal si eux reçoivent un rejet bancaire. Ils ont alors envoyé des lettres de mise en demeure et menaces de recouvrement. Heureusement que j'ai fais valoir mes droits et prouvé mon honnêteté. J'ai jamais rien payé.

Alors ils peuvent incriminer telle ou telle méthode pour détourné les acheteurs, c'est de la poudre aux yeux. Les vendeurs eux c'est de la chair à canon. Au passage, pour éviter leur contrôle bidon, passez en mode "Développer" et choisissez "IE" comme useragent ;)

Et bien rien a battre, vont juste passé a coté d'un nombre croissant de clients...
Ils spnt pas les seul a Paypal que je sache...

Comment peut on sérieusement cinq minute critiquer paypal quand à sa position dans cette news...certains devraient acheter un cerveau au lieu d'économiser pour changer de mac chaque année, surtout quand une boîte demande qu'on fasse des efforts pour un plus grand respect des droits des usagers sur le net.
Boulets x 20 sur ce thread.

Paypal, c'est utile pour payer et se faire payer, mais le service est facturé bien assez cher pour ça.
Par contre, dès qu'un problème survient, bonjour le bordel pour avoir une réponse à nos questionnements (si par chance le système de tri ne vous renvoie pas indéfiniment à votre page de départ). On se demande si il y a autre-chose que des robots dans cette société (eBay aussi, mais c'est la même boîte de toute manière).

Alors, si ils pouvaient balayer devant leur porte avant de se mêler aux problèmes que les autres amènent, j'en serais bien content.

l'anti hameçonnage c'est bien le truc qui va voir dans une liste si l'url en question y est présente ? hum. et si l'url d'hameçonnage n'est pas dans la liste, que ce passe-t-il ?

Le danger que je vois avec le dispositif l'anti pêcheur, c'est justement l'effet perverse inverse qui consiste à dire : pas d'alerte, pas de problème…

ils sont gonflés chez Paypal, quand on voit le nombre d'arnaques à la carte qui passe par leur site, ils feraient pas mal de la fermer, car niveau sécurité, c'est franchement pas le top. Sans parler des frais prohibitifs qu'ils appliquent....

Vous ne croyez pas que c'est à Apple de mettre à jour Safari en ce sens, plutôt que de vous acharner sur Paypal ?

Enfin bon, moi je dis ça, je m'en fiche, j'utilise Firefox. Mais le raisonnement du type "Moi je m'en fous je suis bon en informatique, et ceux qui se font piéger sont des brèles, tant pis pour leur gueule.", j'ai du mal à approuver.

c'est tout de meme dingue que safari à tant de retard sur firefox ou IE7 qui est ^plutot pas mal je trouve, moi j'etais un accroc de safari encore jusqu'il y a peu, mais tout comme sous windows , j'ai re succombé au panda roux il y a peu ( vive firefox ) pourquoi apple n'ouvre til pas plus son webkit afin que les devellopeurs puissent faire des add ons par milliers comme pour firefox ??

Franchement j'hallucine. J'approuve totalement CF_melo.
Dès qu'on décèle un défaut dans un produit Apple, les trolls se déchainent !
Si on devait faire un liste des défauts des produits Apple, vous feriez une crise d'épilepsie, non ? Parce-qu'il y en a... comme partout, rien n'est parfait. (ça c'était pour vous énerver).

Bref, les défauts de Paypal, ici, OSEF ! Peu importe, ils s'intéressent à la sécurité ici, vous devriez vous réjouir... car un membre de votre famille peu très bien tomber dans le panneau, et là, vous en pâtirez, aussi calés soyez vous en informatique.

Apple n'a qu'à sortir un filtre anti-phishing, c'est pas la mort et c'est même étonnant que Safari n'en ait pas aujourd'hui.

.Spirit : Je te l'accorde, il y a une part de fanatisme à rejeter ou nier les failles des produits d'Apple. Il faut néanmoins leur reconnaître un soucis permanent du détail et de la recherche du confort de l'utilisateur. C'est ce que ressentent les VRAIS Macusers, c'est pourquoi ce genre de réflexion qui touchent aux psychoses importées du monde Windows a tendance à énerver les utilisateurs heureux de travailler sur leur plateforme depuis une vingtaine d'années loin des Virus, Spywares, Adwares, ActiveX et autres joyeusetés Microsoftienne.

Maintenant sur le sujet du Pishing c'est différent, il suffirait qu'un développeur nous crée une extension à la "Safari Adblock" pour régler le problème. Apple à d'autres chats à fouetter. Et n'oublons pas qu'Apple n'a pas la capacité de développement de Microsoft et pourtant...

Les défauts de sécurité de paypal, non, on ne s'en fout pas. Ca va 5mn de se délester de ses résponsabilités. Et Paypal est le roi pour ça. Personne ne dit que Apple ne doit pas faire quelque chose en ce sens. Mais il faut savoir rester critique, et paypal c'est une belle daube niveau sécurité, alors pointer du doigt un truc minime en criant au loup alors qu'à côté il y a des millions d'€ qui sont en rejets de débit ou en "litige", on va pas se priver pour le signaler.
Il n'y a qu'à voir les commentaires où il y a encore pleins de naïfs qui pensent que Paypal est fiable et que la sécurité est une des priorités de Paypal. Non, la priorité de paypal, c'est de faire croire aux acheteurs que paypal est fiable, pour l'imposer aux vendeurs et se prendre des commissions énormes sans assurer aucune fiabilité niveau sécurité des paiements.

J-Mac : EXACT

Alors, maintenant il faudrait protéger les cons contre leurs imprudences ! Il ne va bientôt plus avoir personne dans les rues !

@micware: je le sais bien, c'est vrai que OSX est très sécurisé, et agréable à utiliser. Mais une menace phishing menace tout le monde, sous tous les OS connectés à internet. C'est pourquoi le terme d'"insécurité" ne doit pas être rapporté qu'à windows, car Windows est autant concerné que OSX ici.

@J-Mac: je suis bien d'accord, on pense ce qu'on veut de Paypal (pour l'utilisation que j'en ai eu, je n'ai pas eu de problème). Mais ce n'est pas dommage de refuser l'apport d'une sécurité (totalement transparente pour l'utilisateur...) même si elle est apportée par une société qui doit balayer devant sa porte ?
Safari a beau être un bon navigateur, il doit évoluer, et cela passe aussi par la sécurité.

@Frenchie: à la limite, les cons n'ont pas choisi d'être cons. Là on arrive à un plus grand débat: faut-il les exterminer au profit des "intelligents" ou les laisser vivre...
Non mais c'est vrai, tu parles de "cons": parmi ces "cons" en informatique, il y en a plus d'un qui est plus intelligent que moi, toi ou que quelqu'un d'autre en terme de quotient intellectuel. Laisse un peu les gens apprendre ce qu'ils veulent apprendre, l'apprentissage de l'informatique n'est pas obligatoire, la preuve, elle n'est pas une matière à part entière à l'école, en tout cas en France. ;)

Je viens de voir l'info sur clubic:
http://www.clubic.com/actualite-136636-paypal-interdire-navigateurs.html

Paypal ne vise pas uniquement Safari (ça enlève déjà l'argumentation de jusdei, qui dit que car ils sont jaloux du Mac, en gros tu vois le mal partout), mais tous les navigateurs qui n'ont pas de filtre anti-phishing. Faut que ce soit clair sur ce point déjà, car la news a tendance à laisser penser que Safari est seulement concerné, alors que pas du tout.

si paypal avait réservé les noms de domaines ressemblant, il n'y aurait surement pas de paypaI et autre trucs du genre...

@Lennoyl: ça y est, c'est encore de leur faute... mais qu'est-ce qu'il faut faire pour vous faire reconnaître un défaut d'un produit chez Apple ?
On a beau dire que Apple innove, vous, les fanatiques de la pomme, vous ne suivez pas le mouvement puisque vous n'acceptez même pas cette innovation, qui est nécessaire...

Et va réserver tous les domaines qui ressemblent... il y en a plein. D'ailleurs, pour berner un utilisateur, des fois y'a pas besoin d'avoir une URL ressemblante...

pourquoi bannir safari ? on reçoit d'abord les mails phising dans mail !!! rien à voir avec safari. y a même dans vista qu'on en reçoit des tas !!! Il y a bien plus d'utilisateurs de windows qui se sont même piégés avec l'IE !!

c'est la stratégie de paypal avec les développeurs de microsoft.... ça sent le roussi.... !! J'en suis sûr !!

Et en quoi le fait d'interdire l'acces a Paypal depuis Safari va empecher le fishing ?

Celui qui a un compte paypal.fr (qu'il utilise avec firefox parceque ca ne marche pas sous safari) ne se rendra peut etre pas compte que c'est safari qui s'est lancé lorsqu'il a cliqué sur paypai.fr dans un mail bidon.

Je parle d'un utilisateur lambda, du genre de ceux qui confondent barre d'adresse et barre de recherche google

@foudeapple: je passerai le fait que ton pseudo est assez explicite...
Certes, il y a sûrement plus d'utilisateurs qui se sont fait piéger avec IE... mais il y a aussi beaucoup plus d'utilisateurs qui utilisent IE. Et on a beau critiquer IE, lui au moins a un filtre anti-phishing.
Mais ce n'est en aucun cas une stratégie contre Apple que d'interdire Safari: la news est mal tournée et déformée (à la limite, c'est le ton de la news qui a lancé le troll...mais passons); Paypal parle tout d'abord d'interdire l'ensemble des navigateurs qui ne disposent pas de filtre anti-phishing. Et comme ici, c'est la coutûme de croire que Apple (et plus particulièrement Safari) est le centre du monde, ça a donné "paypal en veut à Safari !" ou presque...

@DVP: Justement, tu dis que celui qui va ouvrir le lien dans Safari ne s'en apercevra pas:
Le but est qu'il s'en aperçoive. Or paypal, en interdisant à Safari l'entrée de son site, va faire réagir Apple (on espère !) et les pousser à faire un filtre anti-phishing.

Heu, il y a un truc que je comprend pas ?

L'antiphishing, c'était pas une nouveauté annoncée dans [url=http://www.appleinsider.com/articles/06/10/19/anti_phishing_measures_already_turning_up_in_safari_3_builds.html]Safari 3[/url]?

Bon j'ai pas lu les trois pages qui précèdent mais pour ceux qui se pensent plus intelligents que tout ... le site meebo.com permet de se connecter grâce à un navigateur web à sa messagerie instantanée préférée.
Le soucis, c'est que pour le moment le domaine meebo.fr est totalement libre et le premier con venu peut le réserver ... Si maintenant il copie l'interface de connexion et enregistre les login-pass de tout utilisateur qui aura eu le malheur de se tromper de nom de domaine (me dites pas qu'il faut être con ça arrive souvent) et bien paf ... un anti hameçonnage serait bien pratique ici parce que même un contrôle de la barre d'adresse n'indiquerait rien de suspect !