Discussion :

[Siguillaume]

"Password Alert" victime d’une vulnérabilité
L’extension de Google Chrome pour prévenir l’hameçonnage peut être contournée par du code JavaScript

Les efforts de Google pour lutter contre le phishing, en français l’hameçonnage ou le filoutage, viennent d’être frappés d’un coup dur. En effet, le géant d’internet a mis à disposition de ses utilisateurs une extension de son navigateur Chrome pour les protéger d’éventuels vols de leurs données personnelles. Cette extension désignée Password Alert, a deux missions principales :

• Contrôle des saisies de mot de passe : comme expliqué sur la page d’assistance, une empreinte numérique du mot de passe Google de l’utilisateur est générée et enregistrée. Ensuite, chaque fois que l’utilisateur saisit un mot de passe sur un autre site, ce dernier est comparé avec celui enregistré pour Google. Il est recommandé à l’internaute de ne pas utiliser son mot de passe Google pour d’autres services Web. Si cette mesure n’est pas respectée, l’utilisateur reçoit un avertissement.

• Surveiller les tentatives d’hameçonnage : Il s’agit ici pour l’outil de vérifier si la page d’authentification présentée à l’utilisateur est effectivement celle de Google. Ce contrôle s’effectue dans le script HTML de la page.

Sept lignes de code JavaScript suffisent pour contourner cette mesure de protection de Google. Voilà ce qu’annonce l’expert en sécurité informatique Paul Moore, alors que la firme venait juste de publier une nouvelle version qui offrait une sécurité plus renforcée contre le phishing. Paul décrit, dans une vidéo, le principe qu’il a mis en œuvre. En effet, il a créé une page web d’authentification similaire à celle de Google, qui contient un script qui déjoue l’avertissement toutes les cinq millisecondes. Ce qui laisse peu de temps à l’utilisateur de se rendre compte de quoi que ce soit.

Google n’a, pour le moment, pas encore réagi à cette faille.

Pour rappel, l’hameçonnage est une technique utilisée par les pirates informatiques pour recueillir des données personnelles en vue d’effectuer une usurpation d’identité. Elle repose sur l’ingénierie sociale.

Source : Fil des Tweets de Paul Moore

Et vous ?

Croyez-vous qu’il existe un moyen solide pour lutter contre l’hameçonnage ? Si oui, partagez votre expérience.

[JayGr]

Croyez-vous qu’il existe un moyen solide pour lutter contre l’hameçonnage ? Si oui, partagez votre expérience.

Bonjour,

Je dirais que la première chose c'est la sensibilisation... Le phishing, même très bien fait, est toujours détectable. La méfiance est la meilleure défense, donc il faut sensibiliser les gens.

@+