02-12-2012, 12:59 AM
Salut à tous.
Pour éviter le phising par mail, j'aurai une idée à soumettre à votre critique.
Dans un phising, le problème est que le mail adressé au client X semble venir d'une société Y. L'idée serait donc de trouver un moyen pour que X soit certain, à coup sûr, que le mail proviennent bien de chez Y.
Normalement, le mail est censé venir de chez truc@Y.com, mais parfois, si l'utilisateur ne fait pas gaffe, le mail est envoyé par truc@Z.com, et on est donc en présence de phising.
Pour ce faire, je par du constat suivant:
* chaque fois que X veut se connecter sur le site Y, il utilise un login et un mot de passe normalement défini par X et connus de X et Y seulement
Or, à l'heure actuelle, chaque fois que Y veut communiquer avec X, Y n'utilise pas de mot de passe (alors que chaque fois que X veut communiquer avec Y, il utilise un mot de passe).
J'arrive donc à la solution suivante :
* il faut que Y définisse lui-aussi un mot de passe qu'il enverra à X quand il veut communiquer
Voilà le schéma que je propose:
- X crée un compte chez Y en définissant un login et un mot de passe
- Y lui répond, sur la page d'inscription, "Votre compte a bien été créé. Pour éviter toute tentative de phising, TOUS les mails envoyés par Y commenceront par le mot 'choux-fleur'. Pour modifier ce mot, allez dans vos paramètres."
- Y envoie le mail de confirmation d'inscription à X (celui où il faut généralement activer son compte), et le mail commence par: "Choux-Fleur. Normalement, le premier mot ci-contre à gauche doit être celui qui vous a été fournis lors de votre inscription. Si tel n'est pas le cas, alors ce mail NE PROVIENS PAS de Y, et vous êtes victime d'un SPAM qui essaie de se faire passer pour Y. Dans un tel cas, ignorez ce pourriel."
Ainsi, X et Y peuvent communiquer sans que Z ne s'insère au milieu, et si Z s'insère, il ne pourra pas deviner le mot de reconnaissance que Y a définit.
Voyez-vous un inconvénient, une faille ou des défauts à cette idée? Et comment l'amélioreriez-vous?
Pour éviter le phising par mail, j'aurai une idée à soumettre à votre critique.
Dans un phising, le problème est que le mail adressé au client X semble venir d'une société Y. L'idée serait donc de trouver un moyen pour que X soit certain, à coup sûr, que le mail proviennent bien de chez Y.
Normalement, le mail est censé venir de chez truc@Y.com, mais parfois, si l'utilisateur ne fait pas gaffe, le mail est envoyé par truc@Z.com, et on est donc en présence de phising.
Pour ce faire, je par du constat suivant:
* chaque fois que X veut se connecter sur le site Y, il utilise un login et un mot de passe normalement défini par X et connus de X et Y seulement
Or, à l'heure actuelle, chaque fois que Y veut communiquer avec X, Y n'utilise pas de mot de passe (alors que chaque fois que X veut communiquer avec Y, il utilise un mot de passe).
J'arrive donc à la solution suivante :
* il faut que Y définisse lui-aussi un mot de passe qu'il enverra à X quand il veut communiquer
Voilà le schéma que je propose:
- X crée un compte chez Y en définissant un login et un mot de passe
- Y lui répond, sur la page d'inscription, "Votre compte a bien été créé. Pour éviter toute tentative de phising, TOUS les mails envoyés par Y commenceront par le mot 'choux-fleur'. Pour modifier ce mot, allez dans vos paramètres."
- Y envoie le mail de confirmation d'inscription à X (celui où il faut généralement activer son compte), et le mail commence par: "Choux-Fleur. Normalement, le premier mot ci-contre à gauche doit être celui qui vous a été fournis lors de votre inscription. Si tel n'est pas le cas, alors ce mail NE PROVIENS PAS de Y, et vous êtes victime d'un SPAM qui essaie de se faire passer pour Y. Dans un tel cas, ignorez ce pourriel."
Ainsi, X et Y peuvent communiquer sans que Z ne s'insère au milieu, et si Z s'insère, il ne pourra pas deviner le mot de reconnaissance que Y a définit.
Voyez-vous un inconvénient, une faille ou des défauts à cette idée? Et comment l'amélioreriez-vous?
Tout mail ne commençant pas par choux-fleur,