adiGuba:Blog

Un article de adiGuba    Pas de commentaires

Microsoft et la fondation Mozilla ont récemment publié une nouvelle version de leurs navigateurs, respectivement Internet Explorer 7 et Firefox 2.0.

Parmi les nouvelles fonctionnalités de ces deux applications, on en retrouve une présente sur les deux navigateurs pour la première fois : le filtre anti-phishing. Pour ceux qui l’ignorerait, le phishing consiste à tromper l’utilisateur en lui faisant croire qu’il consulte une page connu et fiable (comme par exemple la page de connection de sa banque), alors qu’il se trouve en réalité sur une copie de cette page (dont l’objectif est de dérober les informations saisies).

Mais revenons-en à nos moutons (ou plutôt à nos navigateurs), je viens de tomber sur un billet qui traite justement des différences des anti-phishing des deux navigateurs (lire le phishing).

Il est intéressant de voir qu’une même fonctionnalité peut être implémenté de deux manières différentes, et des implications que cela peut avoir.

Commençons par voir ce que cela donne. Avec Firefox vous pouvez avoir un aperçu rapide an visitant une fausse page de test (sans danger bien sûr) : la page s’assombrit et devient inactive pendant qu’une infobulle vient vous informer du danger :

Le filtre anti-phishing de Firefox 2 en action

Avec Internet Explorer, une page d’information s’affiche à la place du site en question :

Le filtre anti-phishing d’Internet Explorer 7 en action

Toutefois, étant donné que je n’ai pas trouvé de page de test qui fonctionne avec le filtre d’IE7, je tiens à préciser que cette dernière image provient du IEBlog et date du début du mois de septembre : le résultat final du filtre anti-phishing peut donc être très différent dans sa version finale.

Un résultat similaire…

Du point de vue fonctionnalité, on retrouve grosso-modo la même chose, c’est à dire la possibilité de quitter le site en question ou de le consulter quand même (à ses risques et périls), mais également un lien donnant plus d’information sur le phishing et la possibilité de signaler des erreurs des sites faussement bloqués (via un formulaire web).

Les deux navigateurs permettent également de signaler les sites suspects (menu "?" -> "Signaler un site contrefait.." sous Firefox, menu "Outils" -> "Filtre anti-hameçonnage" -> "Signaler ce site web" avec Internet Explorer), le tout encore une fois via un formulaire web.

Il est à noter que ces formulaires web semblent être tous localisés en français pour Internet Explorer, ce qui n’est pas le cas avec Firefox où l’anglais est de mise…

…mais un mécanisme différent !

Mais en interne comment cela fonctionne-t-il ?

Avec Internet Explorer, lors de la première connection à un site, une boite de dialogue demande à l’utilisateur s’il souhaite activer ou non le filtre anti-hammeçonnage (terme « français » du phishing). Et si Microsoft demande une autorisation pour l’activer, c’est qu’il y a une raison.

En effet, une fois activé, le filtre anti-phishing d’Internet Explorer va envoyer le lien de chaque page visité vers un serveur de Microsoft, qui se chargera d’en vérifier la validité. Même si les liens envoyés sont soulagés de leurs paramètres, il n’en reste pas moins que cela peut constituer un problème de confidentialité, surtout que d’autres éléments sont également envoyés…

D’ailleurs Microsoft ne s’en cache pas, et on peut lire ceci dans la déclaration de confidentialité du filtre anti-phishing :

Anonymous statistics about your usage of Phishing Filter will also be sent to Microsoft such as the time and total number of websites browsed since an address was sent to Microsoft for analysis.

Ainsi, lorsque le filtre anti-phishing est activé, pour chaque site visité des informations sont automatiquement envoyé par Internet Explorer (officiellement le nombre de sites visités, le temps passé à surfer, la langue de votre navigateur et la version de votre système).

Et il est impossible de modifier cela dans la configuration du filtre, car il ne nous propose que deux autres alternatives : désactiver complètement le filtre (et donc la protection), ou désactiver la vérification automatique (il faut alors cliquer sur une icône dans la barre d’état pour vérifier le status du site affiché — mais les données seront alors quand même envoyé au serveur).

Les options du filtre d’IE7

Bref, l’anti-phishing, qui est censé protégé votre vie privée et vos données confidentiel, n’est pas exempt de tout reproche…

A l’inverse, sous Firefox ce filtre est activé par défaut, mais il faut dire que son comportement est quelque peu différent. Vous le savez peut-être, mais Firefox utilise la base de données des sites contrefaits de Google. Mais au lieu d’envoyer les URL de chaque site vers un serveur, il gère une base de données locale synchronisée avec la base de données centrale, ce qui lui permet d’effectuer des vérification directement sur le poste de l’utilisateur sans avoir à envoyer quoi que ce soit à qui que ce soit.

Il propose donc le même service (si on passe outre la qualité des réponses du filtre et donc des différentes bases de données, dont j’ignore les détails), mais tout en préservant la confidentialité de l’utilisateur.

A noter enfin (pour les paranos) qu’il est possible de modifier le comportement du filtre afin d’obtenir un comportement similaire à Internet Explorer, c’est à dire en vérifiant la validité du site en temps réel (avec les mêmes risques concernant la vie privée, ce qui implique l’acceptation des termes d’utilisations de Google).

Les options du filtre de FF2

Termes d’utilisation à accepter lors de la modification du comportement du filtre de Firefox

Vous voilà prévenu…

A noter également que la prochaine version d’Opera 9.1 devrait également comporter un filtre anti-phishing (dont j’ignore le fonctionnement).