Filtre Smartscreen dans Internet Explorer 8.0 - partie 1
Une des nombreuses fonctionnalités intéressantes liées à la sécurité dans Internet Explorer 8 est le filtre SmartScreen.
Le filtre SmartScreen dans Internet Explorer 8.0 offre 2 types de protections :
- La première est une évolution du filtre anti-phishing d'Internet Explorer 7
- La seconde permet d'éviter à l'utilisateur la navigation sur des sites Web réputés pour être des vecteurs de codes malveillants
1- Filtrage anti-phishing dans Internet Explorer 8
Le filtre anti-phishing a été amélioré par rapport à celui d'Internet Explorer 7.0 et intègre désormais de nouvelles heuristiques (développées avec l'aide des chercheurs en sécurité de Microsoft) permettant d'évaluer si une page Web contient des éléments caractéristiques d'une page servant à tromper l'utilisateur (zone de saisie d’identifiants / mot de passe / CB….)
Combiné à cela : une amélioration de la partie télémétrie qui permet d'enrichir nos services de réputation. En tant qu'utilisateur, il est possible simplement de participer à cette lutte contre le Phishing en remontant à Microsoft l'existence de sites que vous jugez comme participants à une attaque de type hameçonnage (terme français pour le Phishing).
Autre évolution de SmartScreen entre IE 7 et IE 8 : l’interface utilisateur lors que le filtre détecte un site d’hameçonnage : l’utilisateur peut toujours accéder au site dangereux mais plus difficilement.
Prenons un exemple : l’utilisateur reçoit un courrier électronique (sous-disant) de la part de Paypal lui demandant de vérifier ses identifiants de connexion
Vous le constatez, le courrier est assez alarmiste (le compte Paypal a été limité…), il aurait pu être très bien formaté et sans fautes d’orthographes (bon là il y a en plein, c’est déjà un signe que le courrier est louche ;-))
Au passage vous noterez que mon client de messagerie d’entreprise (ici : Outlook 2010 Beta Refresh) bloque les images du courrier qui est au format HTML (le courrier était initialement catégorisé en courrier indésirable et je l’ai déplacé dans un répertoire spécifique).
Avec un client de messagerie moins évolué, l’utilisateur peut avoir visuellement parlant un courrier ressemblant presque à « un vrai »
Ce courrier contient un lien vers un site Web sur lequel l’utilisateur est censé cliquer.
Passons dans un mode « utilisateur basique et crédule » (si si il y en a J) : celui-ci clique sur le lien et ouvre une session Web avec IE 8.0
Là 2 options :
Option 1 : le site Web est reconnu par le filtre SmartScreen d’Internet Explorer 8.0
L’utilisateur se retrouve donc face à une interface très visuelle lui indiquant un problème, en l’occurrence la présence d’un site d’hameçonnage.
La recommandation est claire : proposer à l’utilisateur de quitter ce site et retourner à sa page de démarrage.
Si l’utilisateur veut en savoir plus, il peut cliquer sur Informations
Si vraiment l’utilisateur est obstiné et veut poursuivre sa navigation sur le site malveillant (c’est clairement non recommandé), il peut cliquer sur le dernier lien. Auquel cas, il arrive sur le site Web d’hameçonnage
Cependant, le filtre SmartScreen est encore actif et conserve en rouge la barre d’adresse avec l’indication que ce site est un site Web d’hameçonnage. En cliquant sur “Site Web d’hameçonnage”, l’utilisateur obtient des informations complémentaires.
Option 2 : le site Web n’est pas encore reconnu par le filtre SmartScreen d’Internet Explorer 8.0 (ça peut arriver)
L’utilisateur arrive sur la page Web ressemblant à un vrai site (ici, c’est encore Paypal). Là, l’utilisateur peut avoir une attitude méfiante vis-à-vis du site pour plusieurs raisons :
- Le site est en anglais alors que le courrier était en français
- Il peut y avoir là encore des fautes d’orthographe…
En Occident, nous avons l’habitude de lire de la gauche vers la droite. Ce qui fait que la majorité des personnes vont « vérifier » une adresse en lisant le début de celle-ci.
Maintenant prenons un exemple d’URL utilisé dans un site d’hameçonnage :
https://www.paypal.com.0058ovus89rerhe6lhp1.com/cgi-bin/webscr/?login-dispatch
Ici quel est le nom de domaine ?
Paypal.com ? Non
0058ovus89rerhe6lhp1.com ? Oui
Ainsi par le simple usage d’un lien Web très long, il devient possible de masquer à l’utilisateur le vrai nom de domaine et ce n’est que le début de la tromperie.
Un autre bel exemple d’utilisation d’URL très longue dans une attaque de phishing sur BankOfAmerica :
Ici le vrai nom de domaine est très loin sur la droite (nom visible sur l’écran de l’utilisateur)
Pour compléter les mécanismes de sécurité anti-hameçonnage, Internet Explorer 8.0 dispose également d’une fonctionnalité baptisée mise en surlignage du nom de domaine (Domain Highlighting dans la langue de Shakespeare).
Cette fonctionnalité a pour objectif de bien faire apparaitre le nom de domaine Internet dans une adresse Web.
Ici on constate que le nom de domaine (en noir dans la barre d’adresse) n’est pas Paypal.com mais une URL plus exotique.
Si l’utilisateur n’est pas certain d’un site, il peut faire une vérification manuelle du site :
Si l’utilisateur pense quand même être sur un site d’hameçonnage (site non détecté par le filtre SmartScreen), il peut tout à fait remonter cette information à Microsoft au travers des services Web SmartScreen en cliquer sur Signaler un site Web d’hameçonnage dans menu Sécurité -> filtre SmartScreen -> Signaler un site Web d’hameçonnage.
Ce feedback est collecté par les services Web SmartScreen puis est rapidement évaluer afin de bloquer le site si cela est nécessaire.
Confidentialité et respect de la vie privée :
Si un utilisateur soumet à évaluation une URL au service Web SmartScreen, l'ensemble de l’information est transmise manière chiffrée via HTTPS. L'information collectée ne contient pas l'adresse IP de l'utilisateur ni aucune autre information personnelle pouvant servir à son identification.
Plus d'informations sur le respect de la vie privée sont disponibles aux adresses suivantes :
https://www.microsoft.com/windows/ie/ie8/privacy/ieprivacy_8.mspx
https://privacy.microsoft.com/fr-fr/default.mspx
2- Filtre anti-sites malveillants dans Internet Explorer 8.0
Au-delà de la lutte contre les sites d'hameçonnage, le filtre SmartScreen d'Internet Explorer 8.0 étend le blocage aux sites Web connus ou réputés pour distribuer des logiciels malveillants et autres logiciels pouvant être une menace pour votre ordinateurs et vos informations personnelles. La fonctionnalité de filtre SmartScreen anti logiciels malveillants intégrée à IE 8.0 est basée sur la réputation des URL (c'est à dire les serveurs utilisés pour le téléchargement) ainsi que sur d'autres technologies anti-logiciels maveillants telles que l'Outil d'Eradication des Logiciels Malveillants (MSRT : Malicious Software Removal Tool)
Si vous naviguez sur un site connu pour distribuer des codes malveillants, alors une fenêtre de blocage et d'avertissement est affichée et vous indique le risque potentiel à continuer la navigation.
Si vous cliquez sur un lien direct de téléchargement (provenant d'un courrier électronique, d'une conversation en message instantanée...), là encore une boite de dialogue d'Internet Explorer 8.0 bloquera le téléchargement pour vous avertir de la menace potentielle
La prochaine partie de cette mini-série d’article lié au Filtre SmartScreen d’Internet Explorer 8.0 va concerner la partie administration centralisée au travers des stratégies de groupes.
Tags: IE+8, anti+phishing, SmartScreen, Internet+Explorer+8