Votre DSI ou DG vient juste de sortir de votre bureau et vous avez le sourire. Comment cela se fait-il ?
Simplement qu'il vient de comprendre personnellement le problème du Phishing : Son fils Eric, Ebayeur patenté vient de se retrouver l'heureux acquéreur de cartes postales très onéreuses dont il ne verra jamais la couleur... Que c'est-il passé ? Ce jeune homme fait malheureusement partie des victimes de la dernière attaque de phishing visant les comptes Paypal.
Parmi les solutions que vous lui proposez, on retrouve celle d'activer le système de filtrage anti-phing intégré au navigateur Internet (IE, Firefox, ...). Vous en profitez pour lui glisser à l'oreille que c'est un risque qu'il faudrait aussi intégrer dans la stratégie de sécurité du parc bureautique.... Et là, mystère cosmique aidant, il vous demande de monter un dossier d'opportunité sur le sujet pour le prochain comité de revue projets.
Le sujet n'est pas simple : Vous avez un problème mixant de la technique (le browser, le filtre et sa configuration) et de l'humain (Quelles seront les réactions des utilisateurs face aux messages du filtre) pour lequel vous souhaitez proposer le système le plus efficace et le plus économiquement intéressant....
Pour commencer, les sources d'informations "classiques" :
- la FAQ de Microsoft sur le système intégré à Internet Explorer 7 et un post sur un blog MSDN
- Un descriptif de la fonction de filtrage intégrée à Firefox
Et ensuite, je vous conseillerai la lecture de ce document : Carnegie Mellon University, You’ve Been Warned: An Empirical Study of the Effectiveness of Web Browser Phishing Warnings (PDF). On y retrouve les résultats des tests réalisés sur une population d'utilisateurs représentatifs des systèmes anti-Phishing intégrés à Internet Explorer et Firefox. Le filtre intégré à Firefox remporte le pompon. Il faut cependant dire que le nombre de cobayes de l'étude est assez faible : Est-ce représentatif ? Peut-être, ou peut-être pas. :-) En tout cas, il en ressort que les utilisateurs foncent tête baissée dans le piège et qu'ils ne lisent pas les messages/pop-ups.
<disgression> Si on devrait faire l'impasse (horreur !!) sur les patchs de sécurité et les antivirus, ce serait bien LA mesure à prendre. Le browser est la voie royale actuellement utilisée pour compromettre des centaines de milliers de machines et les transformer en zombies décérébrés aux ordres d'individus peux recommandables. Ce n'est pas que Firefox n'a pas de vulnérabilités : Non. Il en a eu et en aura. : C'est simplement que ses failles sont moins exploitées que celles d'Internet Explorer.</disgression>
Plus que les résultats de ces tests et le sujet du Phishing en lui-même, ce qui est intéressant dans cette approche c'est qu'elle mets en perspective les utilisateurs mais surtout leurs comportements et leurs actions vis-à-vis de technologies de protection. Une approche "user-centric" de la sécurité comme on en voir trop rarement.
Sur ces dernières pensées, je vous souhaite un agréable week-end !
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens