+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Eviter le phising par mail (/showthread.php?tid=6590)
Eviter le phising par mail - Xenos - 02-12-2012
Salut à tous.
Pour éviter le phising par mail, j'aurai une idée à soumettre à votre critique.
Dans un phising, le problème est que le mail adressé au client X semble venir d'une société Y. L'idée serait donc de trouver un moyen pour que X soit certain, à coup sûr, que le mail proviennent bien de chez Y.
Normalement, le mail est censé venir de chez truc@Y.com, mais parfois, si l'utilisateur ne fait pas gaffe, le mail est envoyé par truc@Z.com, et on est donc en présence de phising.
Pour ce faire, je par du constat suivant:
* chaque fois que X veut se connecter sur le site Y, il utilise un login et un mot de passe normalement défini par X et connus de X et Y seulement
Or, à l'heure actuelle, chaque fois que Y veut communiquer avec X, Y n'utilise pas de mot de passe (alors que chaque fois que X veut communiquer avec Y, il utilise un mot de passe).
J'arrive donc à la solution suivante :
* il faut que Y définisse lui-aussi un mot de passe qu'il enverra à X quand il veut communiquer
Voilà le schéma que je propose:
- X crée un compte chez Y en définissant un login et un mot de passe
- Y lui répond, sur la page d'inscription, "Votre compte a bien été créé. Pour éviter toute tentative de phising, TOUS les mails envoyés par Y commenceront par le mot 'choux-fleur'. Pour modifier ce mot, allez dans vos paramètres."
- Y envoie le mail de confirmation d'inscription à X (celui où il faut généralement activer son compte), et le mail commence par: "Choux-Fleur. Normalement, le premier mot ci-contre à gauche doit être celui qui vous a été fournis lors de votre inscription. Si tel n'est pas le cas, alors ce mail NE PROVIENS PAS de Y, et vous êtes victime d'un SPAM qui essaie de se faire passer pour Y. Dans un tel cas, ignorez ce pourriel."
Ainsi, X et Y peuvent communiquer sans que Z ne s'insère au milieu, et si Z s'insère, il ne pourra pas deviner le mot de reconnaissance que Y a définit.
Voyez-vous un inconvénient, une faille ou des défauts à cette idée? Et comment l'amélioreriez-vous?
RE: Eviter le phising par mail - Sephi-Chan - 02-12-2012
Ça me paraît être une bonne idée, même si je doute qu'elle nous concerne.
En effet, les jeux par navigateurs représentent peu d'intérêt pour les escrocs, qui cherchent à tromper les utilisateurs de services où l'on enregistre une carte bancaire (Amazon, iTunes) ou quelque chose de virtuel et revendable (un compte World of Warcraft).
RE: Eviter le phising par mail - niahoo - 02-12-2012
+1 sephi mais ça reste une très bonne idée à garder derrière l'oreille pour le jour ou on en aura besoin.
le seul bémol à mon avis, c'est que les utilisateurs les plus crédules se feront rapidement niquer à coup de "bonjour, votre mot de reconnaissance à été supprimé suite à une mise à jour importante, veuillez vous connecter pour bla bla bla"
RE: Eviter le phising par mail - srm - 02-12-2012
http://www.passpack.com utilise une chose du genre.
Tu as un mot de passe pour te loguer et un pour décrypter tes données.
Une fois que tu es logué il t'affiche sur la page en gros un message que tu as choisis, ainsi tu sais si tu es sur du phising ou non.
RE: Eviter le phising par mail - Xenos - 02-12-2012
Sur la page même du site, c'est aussi une idée...
Pour le "votre mot de reco a été réinitialisé", il faudra que le mail stipulant cela commence lui-même pas le mot de reconnaissance
Tout mail ne commençant pas par choux-fleur, quelque soit le contenu, n'est pas valide...
RE: Eviter le phising par mail - srm - 02-12-2012
Le problème de ce genre de technique est pour Sephi-Chan, car son mot secret serait connu de tous : Jambon.
RE: Eviter le phising par mail - Sephi-Chan - 02-12-2012
Gna gna gna ! Il y en a plein d'autres que j'utilise au quotidien (essentiellement alimentaires) !
RE: Eviter le phising par mail - niahoo - 02-12-2012
(02-12-2012, 01:10 PM)Xenos a écrit : Sur la page même du site, c'est aussi une idée...
Pour le "votre mot de reco a été réinitialisé", il faudra que le mail stipulant cela commence lui-même pas le mot de reconnaissance
Certes, mais je parlais des utilisateurs crédules !