Edition du 28/09/2005 - par Marc Olanié

L'on connaissait déjà les écrans « multiframe » de phishing utilisant telle ou telle véritable portion de page bancaire authentifiée par un certificat ... lequel donnait une odeur de sainteté aux autres fenêtres composant la page. Mais voilà que semble apparaître une nouvelle technique, nous apprend SurfControl : celle consistant à singer une page https à l'aide d'un document auto-signé. Le certificat d'auto-signature n'est pratiquement utilisé que dans le cadre d'une authentification « interne », d'un intranet par exemple. Ledit certificat est dépendant du document, et ne réfère aucunement à une véritable Autorité de Certification dûment mandatée. Du coup, la visite du site forgé par les escrocs s'affiche bel et bien avec une URL débutant par « https », et l'icône du cadenas en bas de navigateur est affichée en position fermée. Une fenêtre d'alerte précisant que la session n'est pas parfaitement sécurisée s'affiche alors, mais elle a peu de chance d'éveiller le moindre soupçon d la part d'une personne non avertie. Un simple coup d'oeil sur le certificat pourrait également faire disparaître cette illusion d'authenticité, mais qui donc regarde attentivement l'origine des certificats émis par son propre banquier... ou ce qui semble être son propre banquier ?