On Wed, Apr 14, 2010 at 01:31:34PM +0200, Stephane Bortzmeyer said: > On Wed, Apr 14, 2010 at 12:47:47PM +0200, > Matthieu BOUTHORS <matth...@labs.fr> wrote > a message of 26 lines which said: > > > Si Mme Michu vérifiait que son site d'e-commerce est bien en HTTPS, il > > n'y aurait pas autant de phishing.
Il y en aurait autant. Il ne fait pas sous-estimer les capacitées d'adaptation de réactivité et d'ingénieusité des personnes a l'origine des arnaques. Dans la grosse majorité des cas c'est pas Jean Kevin... > > PS: Un certificat SSL basique c'est très abordable de nos jours. > > Les deux phrases sont contradictoires. S'il est facile et peu coûteux > d'obtenir un certificat, alors cela ne vaut plus grand'chose comme > protection, car il suffit au phisheur d'obtenir un certificat de > n'importe laquelle des dizaines (centaines ?) de CA que contient un > navigateur normal. Je vais etre plus pragmatique, un nom de domaine et un certificat (parfois vendu aussi par le meme registrar) ne coute RIEN a l'auteur de phishing. Le registrar aura un impayé de CB volé et ce plusieurs mois apres l'acte de phishing. Le nom de domaine sera innutilisable depuis bien longtemps. > Pour contrer cette attaque, il faudrait que M. Michu (pourquoi > toujours Madame ? Parce que lui s'y connaitrait mieux en > informatique ?) non seulement vérifie que le site est en HTTPs mais > aussi que le nom correspond exactement (i.e. mabanque.example et pas > mabamque.example). Si je revendais des certificats a bas cout avec peu de controle, je répondrais: heureusement que M. Michu ne fait pas la différence entre HTTP et HTTPS sinon mon taux d'impayé exploserais sur la vente des certificats. En ce qui concerne les IDN en dehors des histoire du type sinogrammes (pictogramme, ideogramme et ideophonogramme), si l'industrie des noms de domaine pousse a l'usage et la mise en place c'est pour moi avant tout une histoire économique afin d'augmenter la taille du gateau. JC -- Jean-Claude MICHOT | Free - BookMyName --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
