Après vous avoir expliqué comment utiliser OpenID, j'avais fait un bref rappel sur les possibilités de phishing associées à OpenID. myOpenID, fournisseur d'accès à OpenID, a innové hier en proposant deux solutions. Analyse de ces nouvelles protections.
Une image personnelle dans un cookie
C'est une parade assez intéressante, une question personnalisée stockée de la même façon aurait le même intérêt, mais l'aspect visuel est plus intéressant.
La page d'accueil par défaut :
Et une fois personnalisée (vous pouvez bien sûr changer d'image à tout moment) :
Le cookie est propre au navigateur donc il faut renvoyer une image (pas forcément la même d'ailleurs) pour chaque navigateur que vous utilisez couramment. L'avantage de cette méthode est qu'elle est simple à mettre en œuvre et qu'elle vous permet d'identifier une tentative de phishing du premier coup d'œil. Mais il y a encore mieux...
Un certificat SSL
C'est LA solution idéale. myOpenID propose actuellement deux possibilités d'identification :
via un identifiant/mot de passe habituel :
ou via un certificat SSL :
Une fois le certificat mis en place, vous êtes assuré de vous adresser au bon nom de domaine lorsque vous vous connectez.
Au final, le nouveau site a gagné en clarté grâce à un relifting réussi et de nouvelles fonctionnalités bien pratiques sont apparues, autant dire qu'il a maintenant ma préférence face à ses concurrents. J'ai bien fait de faire initialement ce choix, à vous de faire le votre ou d'en changer, c'est l'intérêt d'un système décentralisée :-).
J'en profite pour vous informer du lancement d'un nouveau blog collaboratif francophone dédié à OpenID (actualités, tutoriels, traductions, etc) : OpenID Blog. Il est possible que je participe à cette initiative intéressante.
Commentaires
lordphoenix le 18/04/2007 :
à noter cette adresse : openiddirectory.com/ qui recense des sites utilisant OpenID
NiCoS le 18/04/2007 :
Le relooking était nécessaire de toutes façons et c'est une bonne chose que ce soit fait :-)
Pour le certificat ou l'image, à voir parce qu'en utilisant plusieurs pcs, c'est un peu pénible à gérer ça, non ??
haypo le 18/04/2007 :
Attention au vol de cookie ! Il faut que site d'authentification n'est pas de faille XSS.
Mehdi Kabab le 18/04/2007 :
La mise en place d'un certificat SSL est une solution intéressante effectivement.
La solution de l'image cookie était en place depuis un moment, mais disons que le design du site ne la mettait pas en évidence.
David, biologeek le 18/04/2007 :
@lordphoenix : merci pour le lien, je ne connaissais pas.
@NiCoS : personnellement j'ai 2 machines sur lesquelles je suis susceptible d'utiliser OpenID, après le public n'est pas forcément geek non plus...
@haypo : XSS est assez documenté maintenant, je pense (et j'espère !) que de telles failles ont été testées. De toute façon, lorsqu'on s'intéresse au phishing c'est la première chose à laquelle on pense.
Eric Daspet le 19/04/2007 :
Bah, même avec une XSS, ça devient plus complexe quand même. Ca veut dire qu'il faut viser quelqu'un particulièrement, préalablement arriver à lui faire exécuter le XSS sur son provider openid, puis après arriver à l'envoyer sur le faux site pour lui demander son login.
Je ne suis pas en train de dire que ce n'est pas possible ou que ce n'est pas très grave si ça arrive, mais ça implique de cibler une personne particulièrement et pas d'avoir un exploitation en masse. Ca implique aussi une exploitation qui n'est pas forcément facile.
Bref, des failles nous en aurons, comme dans toutes les applications. Là on a paré le problème principal, celui qui est exploitable en aveugle.
mat le 19/04/2007 :
L'idée de l'image est exploitée en test depuis quelque temps par yahoo (ils appellent ca sign-in seal), mais ca pose une tonne de problèmes. Si on éduque l'utilisateur à se méfier quand il ne voit pas l'image, alors il aura le reflexe de se méfier à des mauvais moments (cookies nettoyés, nouveau navigateur, etc).
Et sur les PCs ou plein de monde circule (bibliothèques, cybercafés, etc) c'est risqué de laisser l'image dans un cookie, l'utilisateur croit qu'en se déconnectant c'est bon son compte est à l'abri, mais pas de bol le cookie est resté et peut être récupéré par quelqu'un ensuite. Il ne reste plus à ce quelqu'un qu'a mettre l'image sur un faux site pour feinter l'utilisateur quand il reviendra... Bien sur, c'est tiré par les cheveux, mais c'est quand même vachement problématique, je trouve.
naked le 29/06/2010 :
Ca implique aussi une exploitation qui n'est pas forcément facile.
j'arrive apres la guerre le 29/04/2011 :
Mais, l'utilisation d'un certificat SSL client ne protège PAS contre le phishing.
Un site contrefait peut très bien accepter une authentification par certificat SSL client.
En revanche, pour se protéger du phishing, un site en https avec un certificat SSL serveur, certifié par une AC reconnue chargée dans le navigateur du client (Thawte, Verisign...), serait une bonne option.