iOS vulnérable aux attaques par Phishing ?
Le chercheur en sécurité Nitesh Dhanjani, a découvert une faille qui pourrait aider les spécalistes du Phishing. Pour rappel, le Phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels (mot de passe, numéro de carte de crédit,…). Le chercheur a démontré qu’il était possible d’utiliser le mode web application d’iOS, qui affiche des pages web en masquant la barre d’url, à des fins malhonnêtes.
Vous l’aurez compris, la barre d’adresse est cachée, il est alors très simple de rediriger l’utilisateur vers un faux site Web, sans qu’il le remarque. Pour imager son exemple, il a mis en place un site web qui reprend l’interface complète du site mobile de Bank of America (voir ci-dessus). Il reprend même la même la barre d’URL qui n’est seulement qu’une image pour que les visiteurs ne se doutent de rien.
Apple a été prévenue du problème potentiel de sécurité de cette faille recèle, mais n’a pas encore pris de mesures pour la contrer.Pour résoudre ce problème, Nitesh Dhanjani préconise d’afficher en permanence le nom de domaine pour informer l’utilisateur.
Comme quoi, le meilleur filtre contre le phishing ou les virus c’est l’utilisateur lui même.
Comme le joli petit mail qui passe en ce moment de l’équipe de Microsoft qui nous dit qu’on a gagné 250.000. Mais bien sur !?
Uiiiii j’en ai eu un comme ca il y a quelques mois. Le truc était telement laid et bourré de fautes que mon petit frere aurait pu en etre l’auteur, c’était pas crédible une seconde, ca ma fait bien rire!
Totalement d’accord avec Sendman !
Avec la nouvelle technologie brevetée de l’ ADN du Numérique, l’usurpation d’identité numérique devrait chuter rapidement . Fini les tokens et les mots de passes !Il s’agit d’extraire des informations d’un équipement électronique – tel qu’un ordinateur, une clé USB ou un smartphone – qui l’identifient de manière unique, puis d’associer cet extrait (l’ADN du Numérique) à un utilisateur. Ainsi, on dispose d’un token (ce que je possède) avec le niveau de sécurité de la biométrie (ce que je suis), mais sans utiliser la biométrie de l’utilisateur. Cet extrait est ensuite combiné au facteur temps et à un facteur d’aléa quantique pour éviter le rejeu en cas d’interception sur le réseau. Le tout constitue un OTP (mot de passe à usage unique), qui remplace avantageusement le « login-passoire » sans pour autant avoir nécessité de frais de mise en œuvre ou de logistique. Autre avantage, en cas de perte du token (clef USB par exemple), l’utilisateur peut régénérer son ADN du numérique avec un autre dispositif, sans délai.
Accès plus simple, plus rapide et…plus sécurisé que les mots de passe !