|
Bien que le facteur humain soit le meilleur atout pour lutter contre le phishing, il est possible de mettre en œuvre des contres mesures techniques pour accompagner les internautes.
Ceci consisterait à mettre en place des barrières technologiques bloquant les e-mails de phishing avant qu’ils ne parviennent dans les messageries des internautes, telles que :
- la mise en place de logiciels anti-spam (installés au niveau des passerelles de messagerie des entreprises et des fournisseurs d'accès Internet ils pourraient limiter et empêcher ces e-mails frauduleux d'atteindre les boîtes aux lettres des internautes,
- le contrôle de la conformité ainsi qu’une veille constante des sites Internet qui peuvent être exploités pour héberger de faux sites Internet ou même être eux-mêmes les faux sites Internet utilisés dans les attaques de phishing.
Ceci consisterait à informer et sensibiliser les utilisateurs. Dès qu’une tentative de phishing serait détectée, les organisations dont le nom est usurpé devraient prévenir leurs clients. Il faudrait également définir la manière dont chaque organisation contacte et communique avec ses clients (par exemple, annoncer que seuls les courriers papiers sont utilisés pour la communication directe avec la clientèle).
Ceci pourrait également prendre la forme d’une personnalisation des courriers (électroniques ou non) par l'utilisation systématique :
- du nom du client,
- de l'historique des derniers achats du client,
- d’un rappel du dernier courrier échangé,
- et pourquoi pas, par exemple, d'une photographie du client.
Cela permettrait à l’internaute de savoir si le message reçu est justifié ou non. Ainsi, en l’absence de ces critères, le destinataire saurait immédiatement que la communication ne provient pas de l’organisation de laquelle elle semble pourtant provenir.
Pour ce faire il faudrait mettre en place des technologies telles que l’internaute ne serait pas en possession des identifiants de connexion, excepté au moment précis où il en aurait besoin pour établir une connexion, ou encore, implémenter des solutions d’authentification forte.
Cela pourrait prendre la forme :
- d’un renforcement de l'authentification sur les sites Internet sensibles en utilisant des mécanismes d'authentification à usage unique (OTP : One Time Password) afin d'empêcher les pirates ayant collecté l’identifiant et le mot de passe d'un client d’utiliser ces éléments pour s’authentifier illégalement,
- d’une utilisation de la signature électronique, comme il est déjà possible de le faire avec LuxTrust.
Les navigateurs Internet d’aujourd’hui intègrent bien souvent des barres d’outils ou des extensions anti-phishing permettant de lancer une alerte contre un site de phishing.
Plusieurs solutions existent, nous allons en parcourir quelques unes pour les deux navigateurs Internet les plus utilisés.
De nombreuses extensions Firefox peuvent envoyer un message d’avertissement si vous risquez de vous connecter sur un site de phishing. Puisque toutes les extensions ne se valent pas, CASES Luxembourg publiera prochainement un dossier complet sur les barres anti-phishing des différents navigateurs.
Dans tous les cas, n’oubliez jamais d'installer :
- un firewall,
- un anti-virus et de le mettre régulièrement à jour,
- les patchs et correctifs de sécurité sur le système d’exploitation et les applications.
|
