larlet-fr-david/david/biologeek/archives/20070418-myopenid-propose-des-solutions-interessantes-contre-le-phishing/index.html

<!doctype html>
<html lang=fr>
<head>
  <!-- Always define the charset before the title -->
  <meta charset=utf-8>
  <title>myOpenID propose des solutions intéressantes contre le phishing — Biologeek — David Larlet</title>
  <!-- Define a viewport to mobile devices to use - telling the browser to assume that the page is as wide as the device (width=device-width) and setting the initial page zoom level to be 1 (initial-scale=1.0) -->
  <meta name="viewport" content="width=device-width, initial-scale=1"/>
  <!-- Fake favicon, to avoid extra request to the server -->
  <link rel="icon" href="data:;base64,iVBORw0KGgo=">
  <link type="application/atom+xml" rel="alternate" title="Feed" href="/david/log/" />
  <link rel="manifest" href="/manifest.json">
  
  <link rel="stylesheet" href="/static/david/css/larlet-david-_J6Rv.css" data-instant-track />
  
  <noscript>
    <style type="text/css">
      /* Otherwise fonts are loaded by JS for faster initial rendering. See scripts at the bottom. */
      body {
        font-family: 'EquityTextB', serif;
      }
      h1, h2, h3, h4, h5, h6, time, nav a, nav a:link, nav a:visited {
        font-family: 'EquityCapsB', sans-serif;
        font-variant: normal;
      }
    </style>
  </noscript>
  
  <!-- Canonical URL for SEO purposes -->
  <link rel="canonical" href="https://larlet.fr/david/biologeek/archives/20070418-myopenid-propose-des-solutions-interessantes-contre-le-phishing">

</head>
<body>
  <div>
    
    <header>
      <nav>
        <p>
          <small>
            Je suis <a href="/david/" title="Profil public">David Larlet</a>, <a href="/david/pro/" title="Activité professionnelle">artisan</a> du web qui vous <a href="/david/pro/accompagnement/" title="Activité d’accompagnement">accompagne</a><span class="more-infos"> dans l’acquisition de savoirs pour concevoir des <a href="/david/pro/produits-essentiels/" title="Qu’est-ce qu’un produit essentiel ?">produits essentiels</a></span>. <span class="more-more-infos">Discutons ensemble d’une <a href="/david/pro/devis/" title="En savoir plus">non-demande de devis</a>.</span> Je partage ici mes <a href="/david/blog/" title="Expériences bienveillantes">réflexions</a> et <a href="/david/correspondances/2017/" title="Lettres hebdomadaires">correspondances</a>.
          </small>
        </p>
      </nav>
    </header>
    
    
  <section>
    <h1 property="schema:name">myOpenID propose des solutions intéressantes contre le phishing</h1>
    <article typeof="schema:BlogPosting">
      <div property="schema:articleBody">
        <img src="/static/david/biologeek/images/logos/myopenid.png" alt="vignette" style="float:left; margin: 0.5em 1em;" property="schema:thumbnailUrl" />
        <p>Après vous avoir expliqué <a href="https://larlet.fr/david/biologeek/archives/20070104-comment-utiliser-openid-la-solution-d-identification-tant-attendue/">comment utiliser OpenID</a>, j'avais fait un bref rappel sur les <a href="https://larlet.fr/david/biologeek/archives/20070109-openid-et-phishing-sont-dans-un-bateau/">possibilités de phishing associées à OpenID</a>. <a href="https://www.myopenid.com/">myOpenID</a>, fournisseur d'accès à OpenID, a innové hier en proposant deux solutions. Analyse de ces nouvelles protections.</p>

<h2>Une image personnelle dans un cookie</h2>

<p>C'est une parade assez intéressante, une question personnalisée stockée de la même façon aurait le même intérêt, mais l'aspect visuel est plus intéressant.</p>

<p>La page d'accueil par défaut&nbsp;:</p>

<p><img src="/static/david/biologeek/images/openid/openid_accueil.png" alt="Page d&#039;accueil de myOpenID" style="display:block; margin:0 auto;" /></p>

<p>Et une fois personnalisée (vous pouvez bien sûr changer d'image à tout moment)&nbsp;:</p>

<p><img src="/static/david/biologeek/images/openid/openid_nenuphar.png" alt="Page d&#039;accueil de myOpenID personnalisée" style="display:block; margin:0 auto;" /></p>

<p>Le cookie est propre au navigateur donc il faut renvoyer une image (pas forcément la même d'ailleurs) pour chaque navigateur que vous utilisez couramment. L'avantage de cette méthode est qu'elle est simple à mettre en œuvre et qu'elle vous permet d'identifier une tentative de phishing du premier coup d'œil. Mais il y a encore mieux...</p>

<h2>Un certificat <abbr title="Secure Socket Layer">SSL</abbr></h2>

<p>C'est LA solution idéale. myOpenID propose actuellement deux possibilités d'identification&nbsp;:</p>

<p>via un identifiant/mot de passe habituel&nbsp;:</p>

<p><img src="/static/david/biologeek/images/openid/openid_identification.png" alt="Page d&#039;identification de myOpenID" style="display:block; margin:0 auto;" /></p>

<p>ou via un certificat SSL&nbsp;:</p>

<p><img src="/static/david/biologeek/images/openid/openid_ssl.png" alt="Page d&#039;identification via SSL de myOpenID" style="display:block; margin:0 auto;" /></p>

<p>Une fois le certificat mis en place, vous êtes assuré de vous adresser au bon nom de domaine lorsque vous vous connectez.</p>

<p>Au final, le nouveau site a gagné en clarté grâce à un relifting réussi et de nouvelles fonctionnalités bien pratiques sont apparues, autant dire qu'il a maintenant ma préférence face à ses concurrents. J'ai bien fait de faire initialement ce choix, à vous de faire le votre ou d'en changer, c'est l'intérêt d'un système décentralisée :-).</p>

<p>J'en profite pour vous informer du lancement d'un <strong>nouveau blog collaboratif francophone dédié à OpenID</strong> (actualités, tutoriels, traductions, etc)&nbsp;: <a href="http://wordpress.openidblog.fr/">OpenID Blog</a>. Il est possible que je participe à cette initiative intéressante.</p>
      </div>
    </article>
    <footer>
      <h6 property="schema:datePublished">— 18/04/2007</h6>
    </footer>
  </section>
  <section>
    <div>
      <h3>Articles peut-être en rapport</h3>
      <ul>
        <li><a href="/david/biologeek/archives/20070104-comment-utiliser-openid-la-solution-d-identification-tant-attendue/" title="Accès à ★ Comment utiliser OpenID, la solution d&#39;identification tant attendue">★ Comment utiliser OpenID, la solution d&#39;identification tant attendue</a></li>
        <li><a href="/david/biologeek/archives/20091202-discussions-sur-les-applications-web-libres/" title="Accès à ★ Discussions sur les applications web libres">★ Discussions sur les applications web libres</a></li>
        <li><a href="/david/biologeek/archives/20080907-pourquoi-avoir-peur-de-google/" title="Accès à ★ Pourquoi avoir peur de Google ?">★ Pourquoi avoir peur de Google ?</a></li>
      </ul>
    </div>
  </section>
  <section>
    <div id="comments">
      <h3>Commentaires</h3>
      
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">lordphoenix</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>à noter cette adresse : <a href="http://openiddirectory.com/" title="http://openiddirectory.com/" rel="nofollow">openiddirectory.com/</a> qui recense des sites utilisant OpenID</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">NiCoS</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>Le relooking était nécessaire de toutes façons et c'est une bonne chose que ce soit fait :-)<br />
<br />
Pour le certificat ou l'image, à voir parce qu'en utilisant plusieurs pcs, c'est un peu pénible à gérer ça, non ??</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">haypo</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>Attention au vol de cookie ! Il faut que site d'authentification n'est pas de faille XSS.</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">Mehdi Kabab</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>La mise en place d'un certificat SSL est une solution intéressante effectivement.<br />
<br />
La solution de l'image cookie était en place depuis un moment, mais disons que le design du site ne la mettait pas en évidence.</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>@lordphoenix : merci pour le lien, je ne connaissais pas.<br />
<br />
@NiCoS : personnellement j'ai 2 machines sur lesquelles je suis susceptible d'utiliser OpenID, après le public n'est pas forcément geek non plus...<br />
<br />
@haypo : XSS est assez documenté maintenant, je pense (et j'espère !) que de telles failles ont été testées. De toute façon, lorsqu'on s'intéresse au phishing c'est la première chose à laquelle on pense.</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">Eric Daspet</span> le <span class="comment-date" property="schema:commentTime">19/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>Bah, même avec une XSS, ça devient plus complexe quand même. Ca veut dire qu'il faut viser quelqu'un particulièrement, préalablement arriver à lui faire exécuter le XSS sur son provider openid, puis après arriver à l'envoyer sur le faux site pour lui demander son login.<br />
<br />
Je ne suis pas en train de dire que ce n'est pas possible ou que ce n'est pas très grave si ça arrive, mais ça implique de cibler une personne particulièrement et pas d'avoir un exploitation en masse. Ca implique aussi une exploitation qui n'est pas forcément facile.<br />
<br />
Bref, des failles nous en aurons, comme dans toutes les applications. Là on a paré le problème principal, celui qui est exploitable en aveugle.</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">mat</span> le <span class="comment-date" property="schema:commentTime">19/04/2007</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>L'idée de l'image est exploitée en test depuis quelque temps par yahoo (ils appellent ca sign-in seal), mais ca pose une tonne de problèmes. Si on éduque l'utilisateur à se méfier quand il ne voit pas l'image, alors il aura le reflexe de se méfier à des mauvais moments (cookies nettoyés, nouveau navigateur, etc). <br />
<br />
Et sur les PCs ou plein de monde circule (bibliothèques, cybercafés, etc) c'est risqué de laisser l'image dans un cookie, l'utilisateur croit qu'en se déconnectant c'est bon son compte est à l'abri, mais pas de bol le cookie est resté et peut être récupéré par quelqu'un ensuite. Il ne reste plus à ce quelqu'un qu'a mettre l'image sur un faux site pour feinter l'utilisateur quand il reviendra... Bien sur, c'est tiré par les cheveux, mais c'est quand même vachement problématique, je trouve.</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">naked</span> le <span class="comment-date" property="schema:commentTime">29/06/2010</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>Ca implique aussi une exploitation qui n&#39;est pas forcément facile.</p>
    </div>
</div>
<div class="comment" typeof="schema:UserComments">
    <p class="comment-meta">
        <span class="comment-author" property="schema:creator">j&#39;arrive apres la guerre</span> le <span class="comment-date" property="schema:commentTime">29/04/2011</span> :
    </p>
    <div class="comment-content" property="schema:commentText">
        <p>Mais, l&#39;utilisation d&#39;un certificat SSL client ne protège PAS contre le phishing.</p>

<p>Un site contrefait peut très bien accepter une authentification par certificat SSL client.</p>

<p>En revanche, pour se protéger du phishing, un site en https avec un certificat SSL serveur, certifié par une AC reconnue chargée dans le navigateur du client (Thawte, Verisign...), serait une bonne option.<br /></p>
    </div>
</div>

    </div>
  </section>

    
    <footer>
      <nav>
        <p>
          <small>
            Je réponds quasiment toujours aux <a href="m&#x61;ilto:d&#x61;vid%40l&#x61;rlet&#46;fr" title="Envoyer un email">emails</a> (<a href="/david/signature/" title="Ma signature actuelle avec possibilité de chiffrement">signés</a>) et vous pouvez me rencontrer à Montréal. <span class="more-infos">N’hésitez pas à <a href="/david/log/" title="Être tenu informé des mises à jour">vous abonner</a> pour être tenu informé des publications récentes.</span>
          </small>
        </p>
      </nav>
    </footer>
    
  </div>
  
  <script src="/static/david/js/larlet-david-3ee43f.js" data-no-instant></script>
  
  <script data-no-instant>InstantClick.init()</script>
  
</body>
</html>