Outils pour utilisateurs

Outils du site


cours2009:outils_et_methodes_de_gestion_de_l_information:phishing_et_securite_des_navigateurs_web

Phishing et sécurité des navigateurs WEB

Le but de ce T.P. est de mettre le doigt sur différents problèmes de sécurité.

Vous devez m'envoyer les réponses par mail à pierre.pracht@gmail.com, depuis l'adresse fournie par l'université, avant la fin de la séance. Le sujet doit être exactement celui-ci : Bureautique TP8 2009

J'ai volontairement omis de mettre des liens vers des sources de documentation. Vous devez rechercher par vous-même les ressources pertinentes pour répondre aux questions (inclure dans les réponses les URL des ressources trouvées).

Il est évident que vous ne pouvez pas trouver toutes les réponses par vous-même. Vous devez me demander de l'aide pour orienter vos recherches et valider vos résultats.

Phishing

J'ai collecté différents exemples de phishing qui sont issus de ma boîte aux lettres. Pour corser l'exercice, j'ai inclus deux mails, qui n'étaient pas frauduleux.

Vous devez trouver pour chaque mail les critères qui vous permettent de dire qu'il s'agit d'une tentative de phishing. Les critères étant souvent communs à différents mails : numérotez les critères et/ou présenter cela sous forme de tableaux. Le document est à joindre au mail de réponse.

Questions :

  • Comment fonctionne la protection contre le phishing de Firefox ?
  • Le service de protection contre phishing Firefox reçoit-il l'ensemble des URL que vous visitez ?
  • Pourquoi les mails frauduleux ne sont-ils pas directement supprimés (du serveur de mail) ?
  • À la vue des exemples fournis, que pourraient faire les auteurs de phishing pour améliorer leurs messages.

Sécurité des navigateurs Web

Outre une protection contre les sites malveillants, les navigateurs Web permettent de crypter les communications par le biais de certificats SSL.

Comparez les trois exemples de communications sécurisées qui suivent.

https://addons.mozilla.org/fr/firefox/

https://www.creditmutuel.fr/groupe/fr/

https://src-projet.pu-pm.univ-fcomte.fr/profs/mercier/index.php

Vous avez sans doute ajouté une exception de sécurité pour le site src-projet.pu-pm.univ-fcomte.fr . Vous pouvez la supprimer de la façon suivante.

Après avoir supprimé l'exception de sécurité, reconnectez-vous au site et lisez attentivement les avertissements fournis.

Questions :

  • La modification de la gestion des certificats auto signés par Firefox a fait l'objet d'une polémique.
  • Quels sont les risques encourus lors de la première visite d'un site utilisant un certificat auto signé ?
    • Quels sont les risques encourus après avoir ajouté une exception de sécurité ?
  • Décrivez les différents types de certificats SSL (Ex: http://www.startssl.com/?app=39&lang=fr ).
  • Un site Web pratiquant le phishing peut-il :
    • Utiliser un certificat SSL ?
    • Falsifier le certificat du site original ?
    • Utiliser le nom de domaine du site original ?
  • Peut-on obtenir un certificat SSL pour un site qui ne nous appartient pas ?
  • Quelles garanties apportent les certificats SSL a validations étendues ?
cours2009/outils_et_methodes_de_gestion_de_l_information/phishing_et_securite_des_navigateurs_web.txt · Dernière modification: 2009/10/20 22:00 (modification externe)