Voici une attaque intéressante: le tabnabbing.
Vous êtes assez averti pour ne pas cliquer sur gmail.com.pouilleux.biz dans vos mails, mais êtes-vous préparés à ce que le site que vous aviez déjà ouvert dans un onglet en arrière plan ne soit pas le vrai Gmail?
# Idee geniale
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 10.
Et ca me fait me dire qu'il est bon signe d'avoir toujours les onglets frequents aux memes endroits, ou meme les sites sur des fenetres/bureaux separes.
Je sais par exemple que je n'ai jamais machin.com en troisieme position de ma barre d'onglets, ni dans ma dexieume instance de firefox.
Et aussi, j'ai du laisser a noscript le droit de jouer avec la page pour qu'il me fasse la demo.
C'est vraiment une idee geniale cette methode. Encore plus visuelle qu'une simple XSS, et deroutante pour l'utilisateur (qui tombera facilement dans le panneau, j'en suis sur...)
Maintenant, pourquoi pas embarquer des detecteurs de similitude visuelle des sites, et indiquer une alarme quand un site qui n'est pas gmail ressemble un peu trop a gmail ?
Ca me parait une approche pas pire, pour tous les sites avec login, et faisable sans trop de difficulte !
[^] # Re: Idee geniale
Posté par Tobu . Évalué à 5.
Ca me parait une approche pas pire, pour tous les sites avec login, et faisable sans trop de difficulte !
On pourrait peut-être faire ça sur les favicon?
Pour ma part, j'utilise Secure login [https://addons.mozilla.org/firefox/addon/4429/] pour ne pas taper les mots de passe à chaque fois, ni me tromper de site.
[^] # Re: Idee geniale
Posté par gnumdk (site web personnel) . Évalué à 5.
>(qui tombera facilement dans le panneau, j'en suis sur...)
Pas besoin de faire si compliqué...
http://www.emailmeform.com/fid.php?formid=700831
Ceci suffit largement, sur une promotion de 100 étudiants, j'en ai 6 qui ont répondu au formulaire reçu par mail...
[^] # Re: Idee geniale
Posté par Ramón Perez (site web personnel) . Évalué à 5.
Marche pas ton lien :
Sorry, the form id you provided could not be found in our database.
[^] # Re: Idee geniale
Posté par bat13 . Évalué à -1.
[^] # Re: Idee geniale
Posté par Shuba . Évalué à 2.
Pour contrer ça, les extensions du type WOT ( web of trust ) risquent de s'avérer utiles.
Sauf si les attaquants changent sans cesse de site pour leur attaque.
[^] # Re: Idee geniale
Posté par ribwund . Évalué à 5.
[^] # Re: Idee geniale
Posté par Grunt . Évalué à 10.
- ne sait pas ce qu'est un "port", donc son navigateur lui interdit de surfer sur un port destiné à une autre application,
- ne sait pas ce qu'est SSL, donc son navigateur hurle à la mort quand il arrive sur un site auto-signé,
- ne sait pas ce qu'est une mise à jour, donc son navigateur va mettre à jour Flash à sa place,
- ne sait pas ce que c'est que la sécurité, donc son navigateur demande à Google s'il peut aller sur tel ou tel site,
- ne sait pas ce qu'est un protocole, autant virer "HTTP" de son navigateur,
- et maintenant, il ne sait même plus ce qu'est une URL. Il va falloir monter une énième usine à gaz pour fingerprinter toutes les pages.. heu non, pas toutes, seulement celles de Google et Facebook, et faire clignoter l'écran en rouge et jaune quand le même contenu se retrouve sur une URL différente.
C'est une très mauvaise approche. On a au moins deux autres solutions possibles:
- développer un plugin "cerveau" qu'on mettra dans tous les utilisateurs. C'est compatible avec tous les navigateurs,
- se demander si c'est vraiment une bonne idée de vouloir tout faire passer par le Web, pourquoi on en est arrivé là, et comment faire marche arrière avant que tout ne soit pourri..
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Désolé mais
Posté par tuXico . Évalué à 10.
[^] # Re: Idee geniale
Posté par Shuba . Évalué à 8.
[^] # Re: Idee geniale
Posté par Thomas Douillard . Évalué à 6.
Ça changerait quoi pour le phishing ? pour des raisons de praticité t'aurais toujours des trucs du style "configuration automatique ou autre" pour pas que l'utilisateur ait à tatonner pour configurer son n-ième client de banque pour ses comptes qui laisseraient ce genre de porte ouverte ... ça fermerait pas grand chose à mon avis.
développer un plugin "cerveau" qu'on mettra dans tous les utilisateurs.
Qu'est-ce que le plugin cerveau apporterait dans le cas d'une attaque pareille étant donné que le but justement de l'attaque c'est de se servir des faiblesses du cerveau de l'utilisateur pour le tromper justement ? Perso j'ai beau savoir tout ça, je peux carrément pas garantir que je risquerait pas de me faire avoir par une attaque de ce style dans un moment d'égarement, ou en étant pressé, ou ...
[^] # Re: Idee geniale
Posté par patrick_g (site web personnel) . Évalué à 10.
Fastoche. Il suffit d'utiliser un navigateur sans onglets !
[^] # Re: Idee geniale
Posté par Thomas Douillard . Évalué à 3.
[^] # Re: Idee geniale
Posté par Moogle . Évalué à 4.
[^] # Re: Idee geniale
Posté par jigso . Évalué à 5.
[^] # Re: Idee geniale
Posté par Aldoo . Évalué à 3.
[^] # Re: Idee geniale
Posté par Grunt . Évalué à 7.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Idee geniale
Posté par Stephane Marchesin (site web personnel) . Évalué à 5.
Qu'est-ce que le plugin cerveau apporterait dans le cas d'une attaque pareille étant donné que le but justement de l'attaque c'est de se servir des faiblesses du cerveau de l'utilisateur pour le tromper justement ? Perso j'ai beau savoir tout ça, je peux carrément pas garantir que je risquerait pas de me faire avoir par une attaque de ce style dans un moment d'égarement, ou en étant pressé, ou ...
Ma banque fait un truc intéressant pour l'authentification qui protège de ça:
- au login, je tape juste mon nom puis entrée (pas mon mot de passe pour l'instant)
- elle me montre une image et sa légende, que j'ai choisies quand j'ai crée mon compte (par exemple, une photo d'une pipe et la phrase "ceci c'est pas une pipe")
- je tape mon mot de passe seulement si je vois mon image et mon titre.
Du coup, les attaques par phishing nécessitent de connaître mon image et sa légende. Si je ne les vois pas, je ne tape pas mon mot de passe, pas folle la guêpe.
[^] # Re: Idee geniale
Posté par med . Évalué à 1.
[^] # Re: Idee geniale
Posté par Stephane Marchesin (site web personnel) . Évalué à 1.
Oui tout à fait c'est BoA.
[^] # Re: Idee geniale
Posté par totof2000 . Évalué à 5.
[^] # Re: Idee geniale
Posté par Gof (site web personnel) . Évalué à 7.
[^] # Re: Idee geniale
Posté par Stephane Marchesin (site web personnel) . Évalué à 1.
[^] # Re: Idee geniale
Posté par Stephane Marchesin (site web personnel) . Évalué à 1.
[^] # Re: Idee geniale
Posté par claudex . Évalué à 3.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Idee geniale
Posté par Victor . Évalué à 4.
[^] # Re: Idee geniale
Posté par Gof (site web personnel) . Évalué à 2.
Sauf si ton PC est verolé, mais alors le problème est autrepart.
De toute façon, comme dit plus haut, avec une IP dynamique c'est pas faisable.
La solution c'est les certificats clients.
[^] # Re: Idee geniale
Posté par mansuetus (site web personnel) . Évalué à 3.
... ce qui complique un peu le process, mais pas tant que ça, si ?
[^] # Re: Idee geniale
Posté par bubar🦥 (Mastodon) . Évalué à 1.
(...) parceque j'ai beau chercher je trouve pas l'interface (...)
[^] # Re: Idee geniale
Posté par Grunt . Évalué à 3.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Idee geniale
Posté par cosmocat . Évalué à 3.
et vers la page cité dans l'article qui a été obligé de rajouter un disclamer pour ceux qui pensaient que c'était la nouvelle version de facebook (car il sortait 1er dans google) : http://www.readwriteweb.com/archives/facebook_wants_to_be_yo(...)
PS : lire les commentaires (consternant) où les mecs disent qu'ils n'arrivent pas à se logguer ou qu'il préféraient l'ancien design....
[^] # Re: Idee geniale
Posté par totof2000 . Évalué à 1.
[^] # Re: Idee geniale
Posté par 2PetitsVerres . Évalué à 7.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Idee geniale
Posté par M . Évalué à 1.
Ca me parait une approche pas pire, pour tous les sites avec login, et faisable sans trop de difficulte !
Ou tout simplement couper le javascript sur l'onglet qui n'a pas le focus (comme ca l'utilisateur devrait plus remarquer la transition).
En plus ca réduira la conso cpu.
[^] # Re: Idee geniale
Posté par Pierre Bourdon . Évalué à 3.
[^] # Re: Idee geniale
Posté par Sufflope (site web personnel) . Évalué à 2.
[^] # Re: Idee geniale
Posté par Pierre Bourdon . Évalué à 3.
Par contre, je suis Google Reader user. Je l'utilise sur plusieurs machines différentes, sur mon téléphone, etc. Alors évidemment je pourrais avoir un fichier OPML en ligne et l'updater à chaque fois que je rajoute un flux à un de mes clients, puis l'importer partout ailleurs. Mais ça n'est pas pratique par rapport aux alternatives « dans le cloud ».
Même pour GMail, j'utilise assez souvent des machines qui ne sont pas les miennes, et devoir reconfigurer Thunderbird pour les 4 ou 5 accounts email à chaque fois ça deviendrait surement très chiant à la longue.
Si des gens utilisent des webapps ça n'est pas seulement par méconnaissance des outils desktop. C'est parfois car ils ont des besoin auxquels les outils desktop ne répondent pas.
Sans parler des machines que j'utiliserai et où Thunderbird ne sera pas installé. Des machines sans navigateur web c'est plus rare quand même.
[^] # Re: Idee geniale
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
[^] # Re: Idee geniale
Posté par Grunt . Évalué à 3.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Idee geniale
Posté par Larry Cow . Évalué à 7.
[^] # Re: Idee geniale
Posté par Zenitram (site web personnel) . Évalué à 2.
Le temps à installer, configurer alors qu'on comprend pas la question (POP??? IMAP???), le fait que ça ne marche pas (le firewall fait chier, mais comme on ne connais rien, on comprend pas...).
L'avantage du webmail, ce qui fait son succès, c'est que tu peux y avoir accès de partout sans contraintes. Tu proposes un truc incompréhensible pour le commun des mortels, ce n'est pas comme ça (en conseillant un truc incompréhensible à une personne, un truc qui marche une fois sur deux etc...) que tu passeras pour écoutable par les gens... Tes arguments "intégré à 'environnement", c'est sympa, mais les gens préfèrent un truc non intégré qui marche qu'un truc intégré qui ne marche pas.
Note : Thunderbird a fait un effort, maintenant login/password seulement marche assez souvent (il va chercher tout seul les paramètres de configuration), reste qu'il n'y a pas de protocole de "fallback" en HTTP(S) quand IMAP est bloqué (faute aux serveur et client qui n'ont pas de protocoles standards pour encapsulerl'IMPA dans un couche HTTP(S), mais l'utilisateur s'en fout de qui est la faute, il voit juste que ça ne marche pas), ça s'améliore sans être encore aussi bien que le webmail du point de vue du commun des mortels.
[^] # Re: Idee geniale
Posté par Sufflope (site web personnel) . Évalué à 3.
oui c'est un peu comme avec les gens qui veulent aller d'un point A à un point B (de préférence très éloignés l'un de l'autre, et respectivement loin de tout) sans payer de taxi, sans passer de permis et sans vouloir prendre le train. Je suis quand même vachement gonflé de leur dire que ça va pas être possible, je pourrais faire un effort et les transporter sur mon dos.
Grâce au « tout doit être encapsulé dans HTTP c'est fait pour ça et spa filtré woot », maintenant la dite Mme Michu qui veut pas lire la fiche de son fournisseur de courriels pour configurer son client « lourd » (quand je vois le chargement de GMail, heureusement que je sais que par client « lourd » vous entendez client « hors du navigateur », parce que sinon...), bah elle gueule parce qu'au taff elle a des proxys qui bloquent au-feminin.com parce que dans un sujet quelqu'un a dit « vagin », et ça bloque debian.org pour pornographie parce que ça ressemble à lesbian (ou parce que GNU/lesbian existe tout simplement :D).
SUPAŸR.
[^] # Re: Idee geniale
Posté par campagnard . Évalué à 0.
- Installe un client mail lourd !"
Ca revient à "dites nous de quoi vous avez besoin, on vous expliquera comment vous en passer"...
# Zut alors!
Posté par Grunt . Évalué à 10.
C'est loin d'être terminé, ce genre de mauvaises surprises.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Zut alors!
Posté par Thomas Douillard . Évalué à 10.
Tiens, j'ai développé un client alternatif méga super cool, installe le, tu verras !
Ou encore "téléchargez ici la mise à jour de sécurité super importante de votre client de banque !"
[^] # Re: Zut alors!
Posté par Grunt . Évalué à 10.
Les avantages?
- On pourrait troller sur les avantages respectives de GBank, Kbank, Xbank, et NcursesBank.
- En utilisant des protocoles et des ports très différents pour les activités courantes de madame Michu, on résisterait à la "parefeu-ïsation" des accès Internet (ou présentés comme tel) grand public: hotspot WiFi, accès 3G..
- l'utilisateur risque moins de se faire piéger: il a déjà son application, qui se met à jour (soit via son gestionnaire de paquets, soit toute seule à la Windows), au lieu de vivre dans un monde où n'importe quel serveur peut présenter une "application" qui ressemble à une autre. Une page dans un onglet qui change de gueule, c'est bien plus discret qu'une application "lourde" (1) qui veut s'incruster sur le poste de travail.
(1): c'est un contresens de nommer "lourde" une application compilée pour la plateforme sur laquelle elle tourne, surtout si c'est par opposition à du Javascript qui tourne dans une VM qui tourne dans une sandbox qui tourne dans un onglet qui tourne dans un navigateur qui tourne sur ladite plateforme. Le rapport fonctionnalités/consommation de ressources est en défaveur du Web, et c'est pas prêt de changer. Une bouse tout juste capable de faire tourner irssi n'est pas prête de faire tourner un client IRC Web, surtout s'il doit fournir autant de fonctionnalités.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Zut alors!
Posté par Thomas Douillard . Évalué à 1.
Ou en insérant une copie de l'interface du logiciel le plus utilisé dans un autre programme qui se lance de temps en temps.
[^] # Re: Zut alors!
Posté par Grunt . Évalué à 2.
----
Merci d'aller dans les préférences de votre gestionnaire de sous, et de remplacer "votrebanque.tld" par "votrebanque.tld.phising.x3434.ru"
----
Même un troll ivre trouverait ça louche (pour rester dans le roleplay, voir plus haut).
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Zut alors!
Posté par Thomas Douillard . Évalué à 3.
Ou autre situation plus approcimative, interface imitée comme une page web est imitée et tout ... ça change pas grand chose.
[^] # Re: Zut alors!
Posté par Grunt . Évalué à 2.
Nan. Ça t'oublie, c'est caca. Des impératifs suivants:
- respectueux de la liberté de l'utilisateur,
- gratuit ou pas cher,
- totalement automatisé,
il va falloir en sacrifier un.
Tu peux pas faire un truc qui ne demande aucune réflexion à l'utilisateur, et qui soit capable de faire le tri entre "le bon fichier de config auto" et "le mauvais fichier de config auto".
Ah, si, c'est possible, mais ça va coûter très cher. Tu veux un truc gratuit et tout automatique et qui évite à l'utilisateur de réfléchir?
On voit le résultat: le tabnabbing, conceptuellement très simple, qui peut faire un massacre. Et la riposte devra nécessairement:
- coûter un peu plus de temps aux développeurs des navigateurs (jusqu'à la prochaine faille),
- ou rogner un peu plus les libertés de l'utilisateur (Firefox est en train de se transformer en prison dorée, dès que tu sors des clous ça hurle de partout),
- ou faire réfléchir un peu l'utilisateur, et ça c'est la seule solution viable à long terme.
Moi aussi j'aimerais bien un système qui, de façon sûre, soit capable de faire la différence entre une bonne décision et une mauvaise, qui respecte ma liberté de faire un choix "hors norme" sans m'avertir méchamment, qui ne coûte rien, et qui m'avertisse méchamment quand je suis en danger. Mais c'est impossible.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Zut alors!
Posté par Thomas Douillard . Évalué à 4.
Ce que je dis, c'est que conceptuellement tes solutions ne changent rien du tout, les mêmes failles existent avec des clients lourds. Et quand il s'agit de truander, les truands ont de l'imagination à revendre.
Or les systèmes qui authentifient les urls et les protections anti phishing elles existent déja, dans les navigateurs et les anti-virus. Authentification, ssl, bases de données et heuristiques ...
[^] # Re: Zut alors!
Posté par Grunt . Évalué à 4.
Exact. Et contre l'intelligence de milliers de truands, je ne vois pas mieux que la perspicacité de millions d'utilisateurs.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Zut alors!
Posté par lasher . Évalué à 2.
[^] # Re: Zut alors!
Posté par Alex . Évalué à 2.
ceci dit un tel protocole existe déjà (ofx il me semble), utilisé malheureusement par peu de banque.
[^] # Re: Zut alors!
Posté par kg7 . Évalué à 1.
http://fr.wikipedia.org/wiki/Open_Financial_Exchange
[^] # Re: Zut alors!
Posté par feth . Évalué à 2.
[^] # Re: Zut alors!
Posté par Juke (site web personnel) . Évalué à 1.
Pas besoin, il y deja les backend BnPorc et Cragr pour weboob.
http://weboob.org/
# Et voilà : JavaScript
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à -7.
[^] # Re: Et voilà : JavaScript
Posté par Moogle . Évalué à 8.
[^] # Re: Et voilà : JavaScript
Posté par Maclag . Évalué à 6.
Il n'y a rien de mieux averti qu'un utilisateur qui a dû lire toute la doc...
# bouh
Posté par cho7 (site web personnel) . Évalué à 2.
J'allais faire la démo à un collègue, et paf, le site marche plus (alors qu'il marchait ya 2 minutes)
Forbidden
You don't have permission to access /blog/post/a-new-type-of-phishing-attack/ on this server.
Je pense qu'il y a moyen de choper plein de comptes avec cette technique, faut vraiment que je sensibilise mon entourage :-/
[^] # Re: bouh
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.