RSS: Une alternative au Phishing ?

Phishing: How To Cut The Identity Theft And Intrusion Detection Line

Pour en savoir plus,

commander cet ouvrage en anglais sur Amazon en cliquant sur l’image.

Annecy – 29 janvier 2005 – En août dernier j’évoquais déjà la possibilité d’utiliser RSS pour des alertes personnalisées à partir des seuls éléments disponibles sous RSS 2.0 c’est à dire les catégories et sous-catégories. Le Phishing (voir la définition en cliquant sur le lien) ayant pratiquement paralysé les envois d’emails en provenance d’eBay et surtout de sa filiale Paypal qui fait l’objet de la convoitise d’une armée d’escrocs tentés de subtilisés les précieuses informations des acheteurs en ligne. Il n’en reste pas moins vrai, que cela soit avec ces entreprises, votre banque ou d’autres marchant en ligne vous devez pouvoir échanger en toute confiance des informations. La solution adoptée par les professionnels de l’échange de données en ligne que cela soit sous EDI ou XML est d’adopter des certificats d’authenticité. Mais cette formule est relativement onéreuse pour des transactions occasionnelles des particuliers et complexe à mettre en oeuvre par le grand public. D’où l’idée récemment développée par David Berlind de ZNET de créer des flux RSS pour chacun des membre d’une communauté. Cette formule me parait toute à fait prometteuse car elle suppose la conjonction de deux conditions:

1) Que l’émetteur puisse personnaliser son message avec des données que les phisheurs n’ont pas ou auraient beaucoup de difficultés à ce procurer tel qu e les noms et prénoms complets, un numéro de client, …

2) Que le récepteur ait souscrit volontairement à un flux RSS avec un agrégateur particulier.

Je suis certain qu’une solution de ce type apporterais une dose de confiance supplémentaire. Toutefois, pour des solutions soient encore plus secures, il convient que les agrégateurs aient eux-mêmes des procédures d’authentifications plus robuste. Nous pourrions alors incorporer des certificats d’authenticités dans l’agrégateur valable pour toute une série de souscriptions…. tel que le passeport de Microsoft oÙ pour les anti-Microsoft, les formules de certificats mises en oeuvre par le Ministère des finances pour accéder à nos données fiscales.

(C) Jean-Claude MORAND
4 réponses
  1. Anonymous
    Anonymous dit :

    Pourquoi aller chercher si loin, alors qu’un flux RSS peut trés simplement être sécurisé par un loggin et un mot de passe (identification HTTP)… voire en plus par une connexion sécurisée (SSL) tout comme n’importe quel autre ‘document’ sevrit par un serveur web.

    Répondre
  2. Anonymous
    Anonymous dit :

    Intéressant l’idée du flux RSS avec https et ssl, mais s’il s’agit de récupérer les feeds RSS dans un agrégateur type Sharpreader, est ce qu’il est possible de paramétrer les login et mot de passe pour accéder au flux en qestion ?

    Merci de vos lumières

    Répondre

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.