Le dispositif anti-phishing qui n'émeut pas

Vincent Absous |
La nouvelle version de Safari (tant celle pour Mac OS X que pour Windows) a introduit un outil censé avertir l'utilisateur lors de l'accès à un site Web frauduleux.

frauduleuxsafari32


Le cas échéant, un message apparaît qui prévient que le site visité a été signalé comme étant un site de "hameçonnage", un site conçu pour gruger l'utilisateur et lui soutirer des informations sensibles.

safari32alerte



Reste que selon le Mac Weekly Journal, repris par MacWorld, il y a de quoi critiquer l'attitude d'Apple. Pour fonctionner, le système anti-phisihing repose sur un principe simple : l'établissement d'une liste noire de sites. Liste que Safari participe à compléter, mais sans le dire nulle part. Une fois que vous êtes lancé sur la toile, Safari va consulter cette base de données (gérée par Google, service appelé Google Safe Browsing Service) et, en retour, envoie des informations qui l'enrichissent lorsque vous touchez à un site considéré comme dangereux.

Certes, le contrat de licence de Safari 3.2 fait référence à Google Safe Browsing Service, mais, sans en avertir explicitement l'utilisateur, autorise aussi Google à utiliser les informations ainsi collectées pour le développement de ses propres services (y compris, évidemment, la publicité). Et Charles Arthur, du Guardian, de s'étonner du silence assourdissant autour de cela.

Interpellée sur le sujet, Apple ne s'est toujours pas expliquée. Avare d'information, jouant sur le vague, la Pomme ne documente aucunement les changements apportés à ses logiciels et elle a le devoir selon le Mac Weekly Journal de pourtant communiquer sur le fait qu'en utilisant Safari 3.2, on livre des informations à Google, sans même le savoir. Certes, il n'y a rien de très grave là-dedans, quoique, mais Apple ne joue pas son rôle. Le plus simple, conclut d'ailleurs Charles Arthur, si on est contre ce principe, est de désactiver cette nouvelle fonctionnalité.

Sur le même sujet :
- Safari 3.2 disponible avec un anti-phishing
avatar Eaglelouk (non vérifié) | 
Moi je m'en fiche :D Je laisse activé. y'a des questions qui vaut mieux pas se poser ... tellement c'est con.
avatar Pihrra | 
Je suis d'accord sur le principe, mais (corrigez moi si je me trompe) Firefox utilise le même procédé et personne ne vient crier au loup. Alors certe, Mozilla communique plus sur les nouveautés de chaque versions (quoique, faut parfois savoir chercher), mais je doute que la majorité des gens soient au courrant …
avatar Moonwalker | 
Un article qui n'aborde pas cet aspect avec le même point de vue : http://www.mac4ever.com/news/40865/safari_vous_protege_du_phishing_mais_comment/ Comme à l'époque du vérificateur de Widget, pas de quoi s'alarmer.
avatar micware | 
Là sérieusement, on touche le fond. Qui peut croire qu'il est anonyme sur la toile et que son IP n'est pas stockée régulièrement dans des bases de données. Le service Google lui-même enregistre toutes vos recherches et peut donc s'en resservir plus tard. Tous les services sont capables de tirer parti des données personnelles que vous sauvegardez : MobileMe, GMail, MSN, FaceBook et j'en passe. Alors s'émouvoir qu'une petite fonction de Safari aille consulter une base de données de pishing en y laissant quelques informations concernant la machine relève véritablement d'une hypocrisie sans borne.
avatar Christophe Laporte | 
Personne n'a crié au loup. Ce n'est pas histoire d'être anonyme sur le net, c'est juste une question d'être au courant, une question de transparence, ni plus ni moins. C'est tout. Mozilla est quand même plus clair : http://www.mozilla-europe.org/fr/firefox/features/#security Sur la page de présentation de Safari, cette fonctionnalité n'est même pas évoquée. http://www.apple.com/fr/safari/ Il n'y a rien de dramatique à cela, mais ça serait quand même bien qu'Apple s'explique. Et en matière de sécurité, c'est sans doute son plus grand défaut, de ne pas communiquer assez.
avatar nicogala | 
Bizarrement (?) LittleSnitch ne me signale rien comme communication de Safari...
avatar Cactaceae | 
@nicogala: ben si littlesnitch est autorisé à laisser passer Safari sur le port 80 (il y a de grande chance je crois ;)) alors rien d'anormal :p
avatar oomu | 
mais même, ils se fichent de votre ip et votre ip ne relie pas à votre compte en banque, à vos préférences politiques et à l'emplacement de vos lingots. Google veut savoir quels sites dangereux les "gens" (masse informent parce que l'identification ils s'en fichent et il leur est facile de remplacer votre ip par un identifiant unique inventé chez eux) lisent. - effectivement apple communique peu, comme tou-jours (et à mon avis, faudra une loi pour changer cela) mais apple donne la source de leur système, et cette source est documentée. C'est Google, et google donne le détail. - Mobileme sait qui vous êtes et votre numéro de CB, pour autant il est pas dans leur intérêt de vous bombarder de pub disney ou de vous dire "on sait ce que vous avez fait l'été dernier, héhéhé" - En ce qui concerne la sécurité, Apple s'est amélioré. Il y a pour chaque mise à jour (parfois avec du retard), une page qui détaille les correctifs de sécurité et le numéro d'incident de dossier des organismes de sécurité. L'idéal, en réalité, serait qu'Apple ouvre sa base de bugs (radar) ou au moins numérote les bugs ouvertement et que les gens puissent suivre l'évolution et l'éventuelle correction d'un problème technique connu. Comme toujours, pour une société, c'est risquer de se confronter à l'opinion publique qui ne comprend pas qu'un logiciel informatique est un conglomérat de millions de lignes d'instructions et que c'est toujours modifiable et améliorable. Apple fait simplement le calcul qu'il préfère passer pour un rétrograde muet devant les geeks que pour un Roi du Bug devant le GRAND public. - Le Logiciel Libre/Opensource a passé des années à devoir éduquer les journalistes et médias sur la nature d'un projet informatique et que d'être Transparant c'était effectivement montrer la sordide réalité mais permettre aussi de l'améliorer et que cela MARCHE. Alors peut être que maintenant, Apple (et d'autres éditeurs) peuvent se relâcher.
avatar oomu | 
" Sur la page de présentation de Safari, cette fonctionnalité n'est même pas évoquée. http://www.apple.com/fr/safari/ " ce qui est bien idiot, vu que c'est un PLUS pour l'utilisateur. Alors pourquoi oublier d'en parler avec un gros autocollant fluo ? Mail.app aussi profiterait bien d 'un système anti-phishing.
avatar Hurrican | 
@Pihrra Firefox (tout ce qui est Mozilla en fait) indique bien que son service est lié à Google. D'ailleurs si on signale un mail frauduleux dans Thunderbird, on arrive bien sur une page où il est clairement indiqué que c'est Google qui gère la base.
avatar DarkPeDrO | 
En tout cas, j'ai fais la MAJ et toujours cette vulgaire faute d'orthographe :P
avatar bugman | 
Ils n'auraient pas un peu fumé la moquette chez Google ? Trouver[b] 91962 adware(s), 9097 trojan(s) et 24 scripting exploit(s)[/b] (rien que ça, c'est plus un site, c'est un zoo) sur un site de vente de poupées (http://www.ddungshop.net/) !!! Y'a pas comme un problème là ? Je crois que je vais vite couper l'option de mon coté car ce n'est pas la première fois que ça m'arrive. PS : Et non, je ne joue pas à la poupée !
avatar jjrmusic | 
Ben chez j'ai décoché et basta !
avatar Christophe Laporte | 
@ oomu Tu as tout à fait raison pour Mail et j'espère que cette fonctionnalité arrivera dans Snow Leopard. Apple est peut-être simplement à la bourre concernant la maintenance de son site. Le PDF disponible sur la section du site de Safari présente en long et en large la version 3.1. http://images.apple.com/safari/docs/Safari_Product_Overview20080602.pdf
avatar jjrmusic | 
Lire : chez moi j'ai décoché …
avatar CBi | 
Il faut savoir ce que l'on veut = si on exige d'être hyper protégé par une fonction de son Mac, il ne faut pas être étonné que le Mac en question fasse du flicage.
avatar Hindifarai | 
[quote = CBi]si on exige d'être hyper protégé par une fonction de son Mac, il ne faut pas être étonné que le Mac en question fasse du flicage.[/quote] C'est un non-sens total surement dû à un conditionnement subit, apprenez à penser par vous-même et prenez en compte le fait que protection ne rime pas avec flicage. Les attitudes citées en rapport au fishing ressemblent au beta-tests, essayez vous de votre coté et si ce n'est pas bon on veut le savoir. Le bat blesse ici parce que l'utilisateur n'est pas informé de ce retour, ça s'arrête là ça ne casse trois pattes à un canard mais c'est fondamental dans cette démarche. Je ne blâme pas Apple plus que ça, un simple communiqué ou un pop-up aurait suffit, c'est juste dommage de ne pas avoir penser apposer ce type d'avertissement. Mais non encore une fois il ne faut pas faire rimer sécurité avec flicage. Quitte à être taxé de libriste extremiste encore une fois, OpenBSD est on ne peut plus sécurisé sur toutes ses fonctionnalités et à pourtant à aucun moment on n'est fliqué, certes ce n'est pas un OS comparable à OSX mais ça dément votre soit disant tautologie de départ.
avatar Yip | 
Je suis d'accord avec Eaglelouk, se poser ce genre de question est un peu con, dans la lignée de cette parano que certains cherchent à répandre : ouah ! on est surveillés, fliqués, traqués, mais ! ... on veut de la sécurité, que fait la police ? D'hab. je suis modéré sur la façon de MacG de présenter l'actualité du Mac, mais là je ne suis plus. Vous étiez les premiers à signaler le manque de fonctions de Safari contre le phising, maintenant que c'est en place vous nous dites que ce que fait Apple c'est pas bien ? Faut être un peu cohérents les gars. Et puis il ne faut pas chanter non plus sur tous les toits les différentes façons de choper les malfaisants, sinon on n'attrape plus personne.
avatar Mitchhh | 
desactived !!!
avatar neckaros | 
Je sais pas si vous vous êtes renseigné sur le service mais je trouve pas ça très explicite dans le texte de la news donc pour info: -Safari récupère de temps en temps là base de donnée complète Hashé chez Google Safe Browsing -Si le site correspond au HASH (qui est incomplet pour des raisons de tailles de la base de donnée) Safari envoie alors l'adresse à google qui fera la vérficiation. En conclusion, Safari n'envoie pas l'adresse à chaque page que vous visitez (heureusement autrement imaginez le trafique).
avatar CBi | 
[QUOTE=Hindifarai]C'est un non-sens total surement dû à un conditionnement subit, apprenez à penser par vous-même et prenez en compte le fait que protection ne rime pas avec flicage.[/QUOTE] Penser par soi-même, n'est-ce pas plutôt avoir réfléchi à comment un système d'anti-phishing peut fonctionner, plutôt que d'attendre d'Apple qu'il encombre nos écrans de pop-ups "souriez, vous êtes filmés" ?
avatar PascalBS38 | 
Moi ca me gene toujours que quelqu'un veuille faire mon bonheur en ne m'envoyant que les pubs que ce quelqu'un est cense croire qui m'interressent. Je ne veux pas limiter mon cerveau en fonction de mes habitudes a un moment donne de ma vie mais toujours laisser libre cours a mes pensees et aux choix de mes centre d'interets. Ne proposer que des sites web que ce quelqu'un croient qui m'interressent fini par limiter nos connaissances et notre ouverture a de nouveaux domaines d'interet. Google = 80% des recherches sur le Web? Tout cela ne mene qu'a mettre des oielleres a tout le monde et a une sorte de mono culture mondial, celle que Google veut bien nous donner (non faire payer plutot) Donc je hais le Web2.0, Google et tous ceux qui veulent faire mon bonheur sur le web.
avatar BeePotato | 
« Ce n'est pas histoire d'être anonyme sur le net, c'est juste une question d'être au courant, une question de transparence, ni plus ni moins. C'est tout. Mozilla est quand même plus clair : http://www.mozilla-europe.org/fr/firefox/features/#security » Euh… c'est peut-être que je l'ai raté, mais je ne vois pas où sur cette page il est expliqué que Firefox envoie des données à Google pour faire fonctionner son anti-phishing. Il est juste indiqué qu'il reçoit régulièrement des mises-à-jour de la liste noire, mais rien sur comment cette liste est établie. En quoi est-ce plus clair ou plus transparent, donc ?
avatar james85 | 
A force de livrer des informations "sans le savoir" à Google, cette société va finir par en connaître plus sur nous même que nous pouvons l'imaginer.
avatar marctiger | 
>> james85 : C'est fait depuis longtemps ! ;-)

CONNEXION UTILISATEUR