Explications sur une campagne de phishing exécutée sur Amazon.com en détournant l'usage du "cadenas vert" (sans authentification)
Les experts en cyber sécurité du français HTTPCS ont identifié une copie malveillante du site web du géant Amazon. L'adresse était pourtant chiffrée en https mais "le cadenas vert", obtenu avec un très faible niveau d'exigence, a largement contribué au scénario des pirates en induisant en erreur leurs victimes ... Détails en image de cette opération remarquablement bien exécutée et difficilement identifiable par les internautes.
- Un email en provenance d'un site renommé, apparemment de confiance !
Ici, un email de confirmation de commande réalisée ce jour
2. Inciter la victime à accéder à une page d'authentification à l'appui d'un scénario bien rodé
Ici, annuler une commande qui n'a en réalité jamais été effectuée par la victime.
3. Rassurer l'internaute et, afin qu'il aboutisse à sa demande, exiger la saisie de ses données personnelles ... et bancaires (sinon ça ne serait pas drôle !)
Non non, vous ne rêvez pas, le cadenas vert et la mention "Secure" sont bien là pour rassurer les plus méfiants et les internautes aguerris...
4. Récupérer très simplement les données bancaires, coordonnées personnelles et mot de passe après une attaque bien menée
Et bien entendu à ce moment là vous vous dites "Ah oui ... c'est vrai qu'on me dit souvent que je ne devrais pas utiliser à chaque fois le même mot de passe" (Exemple dans la vidéo " Vie Privée en danger ")
Observons désormais le détail du fameux "cadenas vert", le Graal suprême pour assurer un minimum de référencement sur Google ...
Celui-ci, fourni gratuitement par Let's Encrypt, peut potentiellement être utilisé par des personnes malveillantes car il ne requière aucune authentification ou vérification de l'organisation propriétaire.
Pourquoi Google menace la survie d'e-commerçants rebelles qui ne s'équipent pas du certificat SSL ?
L'adresse https assure le chiffrement des données communiquées entre l’internaute et l’application web. Le certificat SSL / TLS reste donc nécessaire car il préserve la confidentialité des informations transférées vers le web serveur. Néanmoins, sa fiabilité et son efficacité dépendent du niveau de chiffrement et d'exigence requis par les fournisseurs. Dans le cas de cette opération de phishing les pirates ont très facilement obtenu ce certificat et ont ainsi pu induire en erreur leurs victimes. En comparaison, les certificats SSL du leader Symantec sont plus contraignants à obtenir avec des procédures pouvant atteindre 10 jours ouvrés ! Cependant, délivrés à l'issu d'une validation d'organisation rigoureuse (OV) ils rassurent les internautes et apportent les garanties maximales d'authentification et de fiabilité, notamment avec la barre verte d'adresse (EV, Extended Validation).
Il faut toutefois rappeler qu'une fois sauvegardées ces données sont vulnérables et requièrent une protection" à la source" c'est à dire sur le périmètre système et applicatif.
Complémentaire au certificat SSL la technologie HTTPCS assure une protection sur toute la durée de vie de la donnée.
Hypertext Transfer Protocol Certified Secure adopte une 360° pour gouverner sécurité, intégrité et conformité des sites web, adresses URL / IP et applications. Véritable outil de gouvernance de la cyber sécurité proactive, HTTPCS est la première technologie garantie zéro faux positif réalisant des audits automatisés de sécurité système et sécurité applicative.
Accessible aux organisations de toutes tailles cette technologie permet de corriger proactivement les failles de sécurité et vulnérabilités avant qu’elles ne soient exploitées par des personnes malveillantes. Disponible en mode appliance et mode hébergé en france (SaaS), HTTPCS protège les données stockées, prémunit contre le piratage et accompagne la conformité aux normes ISO 27001-27002 et GDPR.
Pour obtenir la certification HTTPCS cliquable et mise à jour après chaque audit, contactez nous au 01 85 09 15 09 !