29.1.05

RSS: Une alternative au Phishing ?

Phishing: How To Cut The Identity Theft And Intrusion Detection Line




Pour en savoir plus,
commander cet ouvrage en anglais sur Amazon en cliquant sur l'image.

Annecy - 29 janvier 2005 - En août dernier j'évoquais déjà la possibilité d'utiliser RSS pour des alertes personnalisées à partir des seuls éléments disponibles sous RSS 2.0 c'est à dire les catégories et sous-catégories. Le Phishing (voir la définition en cliquant sur le lien) ayant pratiquement paralysé les envois d'emails en provenance d'eBay et surtout de sa filiale Paypal qui fait l'objet de la convoitise d'une armée d'escrocs tentés de subtilisés les précieuses informations des acheteurs en ligne. Il n'en reste pas moins vrai, que cela soit avec ces entreprises, votre banque ou d'autres marchant en ligne vous devez pouvoir échanger en toute confiance des informations. La solution adoptée par les professionnels de l'échange de données en ligne que cela soit sous EDI ou XML est d'adopter des certificats d'authenticité. Mais cette formule est relativement onéreuse pour des transactions occasionnelles des particuliers et complexe à mettre en oeuvre par le grand public. D'où l'idée récemment développée par David Berlind de ZNET de créer des flux RSS pour chacun des membre d'une communauté. Cette formule me parait toute à fait prometteuse car elle suppose la conjonction de deux conditions:

1) Que l'émetteur puisse personnaliser son message avec des données que les phisheurs n'ont pas ou auraient beaucoup de difficultés à ce procurer tel qu e les noms et prénoms complets, un numéro de client, ...

2) Que le récepteur ait souscrit volontairement à un flux RSS avec un agrégateur particulier.

Je suis certain qu'une solution de ce type apporterais une dose de confiance supplémentaire. Toutefois, pour des solutions soient encore plus secures, il convient que les agrégateurs aient eux-mêmes des procédures d'authentifications plus robuste. Nous pourrions alors incorporer des certificats d'authenticités dans l'agrégateur valable pour toute une série de souscriptions.... tel que le passeport de Microsoft oÙ pour les anti-Microsoft, les formules de certificats mises en oeuvre par le Ministère des finances pour accéder à nos données fiscales.



4 commentaires:

Anonyme a dit…

Pourquoi aller chercher si loin, alors qu'un flux RSS peut trés simplement être sécurisé par un loggin et un mot de passe (identification HTTP)... voire en plus par une connexion sécurisée (SSL) tout comme n'importe quel autre 'document' sevrit par un serveur web.

Anonyme a dit…

Intéressant l'idée du flux RSS avec https et ssl, mais s'il s'agit de récupérer les feeds RSS dans un agrégateur type Sharpreader, est ce qu'il est possible de paramétrer les login et mot de passe pour accéder au flux en qestion ?

Merci de vos lumières

Jean-Claude MORAND a dit…

Pour ceux qui veulent en savoir plus sur le sujet voici un article bien documenté: http://solutions.journaldunet.com/0503/050317_phishing.shtml

Anonyme a dit…

Salut a tous, a propos de l'authentification ... essaye dans ton agregateur RSS de mettre une url du type http://login:password@url.tld ca marche sur la plupart :)

(C) Jean-Claude MORAND - 2004-2011 - Cyberstrat (tm) est une marque déposée par Jean-Claude Morand