Stanislas Quastana's blog on TechNet

Windows Server, Windows Client, Cloud Computing, DirectAccess, sécurité des Systèmes d Information

Filtre Smartscreen dans Internet Explorer 8.0 - partie 1

Filtre Smartscreen dans Internet Explorer 8.0 - partie 1

  • Comments 2
  • Likes

Une des nombreuses fonctionnalités intéressantes liées à la sécurité dans Internet Explorer 8 est le filtre SmartScreen.

Le filtre SmartScreen dans Internet Explorer 8.0 offre 2 types de protections :

- La première est une évolution du filtre anti-phishing d'Internet Explorer 7
- La seconde permet d'éviter à l'utilisateur la navigation sur des sites Web réputés pour être des vecteurs de codes malveillants

1- Filtrage anti-phishing dans Internet Explorer 8

Le filtre anti-phishing a été amélioré par rapport à celui d'Internet Explorer 7.0 et intègre désormais de nouvelles heuristiques (développées avec l'aide des chercheurs en sécurité de Microsoft) permettant d'évaluer si une page Web contient des éléments caractéristiques d'une page servant à tromper l'utilisateur (zone de saisie d’identifiants / mot de passe / CB….)

Combiné à cela : une amélioration de la partie télémétrie qui permet d'enrichir nos services de réputation. En tant qu'utilisateur, il est possible simplement de participer à cette lutte contre le  Phishing en remontant à Microsoft l'existence de sites que vous jugez comme participants à une attaque de type hameçonnage (terme français pour le Phishing).

Autre évolution de SmartScreen entre IE 7 et IE 8 : l’interface utilisateur lors que le filtre détecte un site d’hameçonnage : l’utilisateur peut toujours accéder au site dangereux mais plus difficilement.

Prenons un exemple : l’utilisateur reçoit un courrier électronique (sous-disant) de la part de Paypal lui demandant de vérifier ses identifiants de connexion

Vous le constatez, le courrier est assez alarmiste (le compte Paypal a été limité…), il aurait pu être très bien formaté et sans fautes d’orthographes (bon là il y a en plein, c’est déjà un signe que le courrier est louche ;-))

Au passage vous noterez que mon client de messagerie d’entreprise (ici : Outlook 2010 Beta Refresh) bloque les images du courrier qui est au format HTML (le courrier était initialement catégorisé en courrier indésirable et je l’ai déplacé dans un répertoire spécifique).

Avec un client de messagerie moins évolué, l’utilisateur peut avoir visuellement parlant un courrier ressemblant presque à « un vrai »


Ce courrier contient un lien vers un site Web sur lequel l’utilisateur est censé cliquer.

Passons dans un mode « utilisateur basique et crédule » (si si il y en a J) : celui-ci clique sur le lien et ouvre une session Web avec IE 8.0

Là 2 options :

Option 1 : le site Web est reconnu par le filtre SmartScreen d’Internet Explorer 8.0

L’utilisateur se retrouve donc face à une interface très visuelle lui indiquant un problème, en l’occurrence la présence d’un site d’hameçonnage.

La recommandation est claire : proposer à l’utilisateur de quitter ce site et retourner à sa page de démarrage.

Si l’utilisateur veut en savoir plus, il peut cliquer sur Informations

Si vraiment l’utilisateur est obstiné et veut poursuivre sa navigation sur le site malveillant (c’est clairement non recommandé), il peut cliquer sur le dernier lien. Auquel cas, il arrive sur le site Web d’hameçonnage

Cependant, le filtre SmartScreen est encore actif et conserve en rouge la barre d’adresse avec l’indication que ce site est un site Web d’hameçonnage. En cliquant sur “Site Web d’hameçonnage”, l’utilisateur obtient des informations complémentaires.


Option 2 : le site Web n’est pas encore reconnu par le filtre SmartScreen d’Internet Explorer 8.0 (ça peut arriver)

L’utilisateur arrive sur la page Web ressemblant à un vrai site (ici, c’est encore Paypal). Là, l’utilisateur peut avoir une attitude méfiante vis-à-vis du site pour plusieurs raisons :

- Le site est en anglais alors que le courrier était en français
- Il peut y avoir là encore des fautes d’orthographe…

En Occident, nous avons l’habitude de lire de la gauche vers la droite. Ce qui fait que la majorité des personnes vont « vérifier » une adresse en lisant le début de celle-ci.

Maintenant prenons un exemple d’URL utilisé dans un site d’hameçonnage :

http://www.paypal.com.0058ovus89rerhe6lhp1.com/cgi-bin/webscr/?login-dispatch 
 
Ici quel est le nom de domaine ?

Paypal.com ? Non

0058ovus89rerhe6lhp1.com ? Oui

Ainsi par le simple usage d’un lien Web très long, il devient possible de masquer à l’utilisateur le vrai nom de domaine et ce n’est que le début de la tromperie.

Un autre bel exemple d’utilisation d’URL très longue dans une attaque de phishing sur BankOfAmerica :

Cliquer pour agrandir

Ici le vrai nom de domaine est très loin sur la droite (nom visible sur l’écran de l’utilisateur)

Pour compléter les mécanismes de sécurité anti-hameçonnage, Internet Explorer 8.0 dispose également d’une fonctionnalité baptisée mise en surlignage du nom de domaine (Domain Highlighting dans la langue de Shakespeare).

Cette fonctionnalité a pour objectif de bien faire apparaitre le nom de domaine Internet dans une adresse Web.

Ici on constate que le nom de domaine (en noir dans la barre d’adresse) n’est pas Paypal.com mais une URL plus exotique.

Si l’utilisateur n’est pas certain d’un site, il peut faire une vérification manuelle du site :

 

 

 

Si l’utilisateur pense quand même être sur un site d’hameçonnage (site non détecté par le filtre SmartScreen), il peut tout à fait remonter cette information à Microsoft au travers des services Web SmartScreen en cliquer sur Signaler un site Web d’hameçonnage dans menu Sécurité -> filtre SmartScreen -> Signaler un site Web d’hameçonnage.

 

 

 

Ce feedback est collecté par les services Web SmartScreen puis est rapidement évaluer afin de bloquer le site si cela est nécessaire.

 

Confidentialité et respect de la vie privée :

Si un utilisateur soumet à évaluation une URL au service Web SmartScreen, l'ensemble de l’information est transmise manière chiffrée via HTTPS. L'information collectée ne contient pas l'adresse IP de l'utilisateur ni aucune autre information personnelle pouvant servir à son identification.

Plus d'informations sur le respect de la vie privée sont disponibles aux adresses suivantes :
http://www.microsoft.com/windows/ie/ie8/privacy/ieprivacy_8.mspx
http://privacy.microsoft.com/fr-fr/default.mspx

 

 

2- Filtre anti-sites malveillants dans Internet Explorer 8.0

 

Au-delà de la lutte contre les sites d'hameçonnage, le filtre SmartScreen d'Internet Explorer 8.0 étend le blocage aux sites Web connus ou réputés pour distribuer des logiciels malveillants et autres logiciels pouvant être une menace pour votre ordinateurs et vos informations personnelles. La fonctionnalité de filtre SmartScreen anti logiciels malveillants intégrée à IE 8.0 est basée sur la réputation des URL (c'est à dire les serveurs utilisés pour le téléchargement) ainsi que sur d'autres technologies anti-logiciels maveillants telles que l'Outil d'Eradication des Logiciels Malveillants (MSRT : Malicious Software Removal Tool)

 

Si vous naviguez sur un site connu pour distribuer des codes malveillants, alors une fenêtre de blocage et d'avertissement est affichée et vous indique le risque potentiel à continuer la navigation.

Si vous cliquez sur un lien direct de téléchargement (provenant d'un courrier électronique, d'une conversation en message instantanée...), là encore une boite de dialogue d'Internet Explorer 8.0 bloquera le téléchargement pour vous avertir de la menace potentielle
 

La prochaine partie de cette mini-série d’article lié au Filtre SmartScreen d’Internet Explorer 8.0 va concerner la partie administration centralisée au travers des stratégies de groupes.

Comments
  • ce filtre est sans doute une bonne chose, sauf que je viens d'acheter un nom de domaine que ce filtre signale comme étant un site douteux. Malgré mon signalement en tant que propriétaire que mon site n'est pas douteux, Microsoft ne supprime pas mon nom de domaine de la liste du filtre. Que dois-je faire ?   Ce filtre me bloque les 50% de gens qui utilisent IE !   .. Heureusement les autres browsers n'incluent pas ce filtre.

  • Bonjour, voici des premiers éléments de réponse.

    en complément, vous pouvez aussi vérifier (et faire modifier) la réputation de votre site sur :

    MRS Feedback and Error Reporting portal :

    www.microsoft.com/.../default.aspx

    Cordialement.

    Source : feedback.smartscreen.microsoft.com/ie9faq.aspx

    Q. L'un des sites que je visite est signalé par le filtre SmartScreen, mais il ne s'agit pas d'un site Web dangereux. Que puis-je faire ?

    R.À partir de l'avertissement, vous pouvez choisir de signaler ce site comme étant fiable. Cliquez sur le lien Plus d'informations, puis cliquez sur Signalez si ce site représente une menace pour votre ordinateur. Suivez les instructions fournies par le site d'envoi de commentaires pour terminer la procédure.

    Q. Je suis administrateur Web. Comment puis-je corriger un avertissement à propos de mon site ou empêcher qu'il soit bloqué alors qu'il est légitime ?

    R.Vous pouvez immédiatement demander à ce qu'une correction soit apportée. Le filtre SmartScreen intègre un système de commentaires sur le Web qui permet aux clients et aux administrateurs Web de signaler aussi vite que possible les avertissements ou les blocages jugés incorrects. Dans Windows Internet Explorer 9, dans un avertissement rouge, cliquez sur Plus d'informations puis sur Signalez si ce site représente une menace pour votre ordinateur. Vous accédez à une page dans laquelle vous pourrez indiquer que vous êtes l'administrateur ou le représentant d'un site Web. Suivez les instructions et entrez des informations nécessaires à l'évaluation du site.

    Pour signaler des commentaires à partir du Gestionnaire de téléchargement d'Internet Explorer 9, cliquez avec le bouton droit sur le téléchargement bloqué et choisissez Signaler que ce fichier est sûr. Vous serez dirigé vers la page des commentaires.

    Une fois le litige communiqué, une équipe d'évaluateurs inspecte le site concerné. Pour un traitement plus rapide, tous les litiges doivent être soumis conformément à la procédure de signalement de site.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment