Outils pour utilisateurs

Outils du site


cours2010:outils_et_methodes_de_gestion_de_l_information:phishing_et_securite_des_navigateurs_web

Phishing et sécurité des navigateurs WEB

Le but de ce T.P. est de mettre le doigt sur différents problèmes de sécurité.

Vous devez m'envoyer les réponses par mail à pierre.pracht@gmail.com avant la fin de la séance. Le sujet doit être exactement celui-ci : [Bureautique TP9 2010] Nom Prénom

J'ai volontairement omis de mettre des liens vers des sources de documentation. Vous devez rechercher par vous-même les ressources pertinentes pour répondre aux questions (inclure dans les réponses les URL des ressources trouvées).

Il est évident que vous ne pouvez pas trouver toutes les réponses par vous-même. Vous devez me demander de l'aide pour orienter vos recherches et valider vos résultats.

Phishing

J'ai collecté différents exemples de phishing qui sont issus de ma boîte aux lettres. Pour corser l'exercice, j'ai inclus deux mails, qui n'étaient pas frauduleux.

Vous devez établir une liste de critères qui vous permettent de dire qu'il s'agit d'une tentative de phishing. La liste de critères doit être incluse au mail de réponse.

Donner dans le mail l'expéditeur est le sujet des deux mails qui ne sont pas du phishing.

Questions :

  • Comment fonctionne la protection contre le phishing de Firefox ?
  • Le service de protection contre phishing Firefox reçoit-il l'ensemble des URL que vous visitez ?
  • Pourquoi les mails frauduleux ne sont-ils pas directement supprimés (du serveur de mail) ?
  • À la vue des exemples fournis, que pourraient faire les auteurs de phishing pour améliorer leurs messages.

Sécurité des navigateurs Web

Outre une protection contre les sites malveillants, les navigateurs Web permettent de crypter les communications par le biais de certificats SSL.

Comparez les trois exemples de communications sécurisées qui suivent.

https://addons.mozilla.org/fr/firefox/

https://www.creditmutuel.fr/groupe/fr/

https://src-projet.pu-pm.univ-fcomte.fr/profs/mercier/index.php

Vous avez sans doute ajouté une exception de sécurité pour le site src-projet.pu-pm.univ-fcomte.fr . Vous pouvez la supprimer de la façon suivante.

Après avoir supprimé l'exception de sécurité, reconnectez-vous au site et lisez attentivement les avertissements fournis.

Questions :

  • La modification de la gestion des certificats auto signés par Firefox a fait l'objet d'une polémique.
  • Quels sont les risques encourus lors de la première visite d'un site utilisant un certificat auto signé ?
    • Quels sont les risques encourus après avoir ajouté une exception de sécurité ?
  • Décrivez les différents types de certificats SSL (Ex: http://www.startssl.com/?app=39&lang=fr ).
  • Un site Web pratiquant le phishing peut-il :
    • Utiliser un certificat SSL ?
    • Falsifier le certificat du site original ?
    • Utiliser le nom de domaine du site original ?
  • Peut-on obtenir un certificat SSL pour un site qui ne nous appartient pas ?
  • Quelles garanties apportent les certificats SSL à validations étendues ?
cours2010/outils_et_methodes_de_gestion_de_l_information/phishing_et_securite_des_navigateurs_web.txt · Dernière modification: 2010/11/09 23:00 (modification externe)