Mardi 30 mars 2010
Dans notre récent article du blog Google sur la sécurité en ligne, nous avons décrit notre système d'identification des pages d'hameçonnage. Parmi les millions de pages Web analysées par nos outils pour identifier l'hameçonnage, 9 sur 10 sont détectées. Environ une fois sur 10 000, notre système de classification se trompe et identifie un site légitime comme site d'hameçonnage, ce qui reste un taux d'erreur nettement inférieur à celui de systèmes similaires. D'après notre expérience, ces "faux positifs" permettent généralement de mettre le doigt sur des sites conçus pour diffuser du spam ou impliqués dans d'autres activités suspectes. Si vous constatez que votre site a été ajouté par erreur à notre liste de pages d'hameçonnage ("Signalement d'une contrefaçon sur le Web"), veuillez nous le signaler. En revanche, si votre site a été ajouté à notre liste de logiciels malveillants ("Ce site risque d'endommager votre ordinateur"), vous devez suivre les instructions pour résoudre ce type de problème. Notre équipe essaie de traiter toutes les réclamations dans un délai d'un jour, généralement sous quelques heures.
Malheureusement, lorsque nous étudions vos rapports d'erreur, nous ne faisons pas toujours mieux que notre système automatisé. Si vous gérez un site Web, voici quelques consignes simples qui nous permettront de corriger rapidement les erreurs potentielles et d'éviter que votre site ne figure dans notre liste de pages d'hameçonnage.
Ne demandez pas de noms d'utilisateur ni de mots de passe qui n'appartiennent pas à votre site
Par définition, nous considérons que ce comportement constitue une tentative d'hameçonnage. Cette pratique est donc interdite. Si vous souhaitez fournir un service complémentaire sur un autre site, utilisez plutôt une API publique ou OAuth.
Évitez d'afficher des logos qui ne vous appartiennent pas à proximité des champs de connexion
Un internaute qui surfe sur le Web pourrait croire à tort que ce logo représente votre site Web et pourrait alors vous transmettre ses informations personnelles alors qu'il pensait qu'elles parviendraient à l'autre site. De plus, nous n'avons aucun moyen de déterminer si cette pratique est intentionnelle. Par conséquent, pour ne pas prendre de risque, nous pourrions bloquer votre site. Pour éviter tout malentendu, nous vous recommandons de faire preuve de prudence lorsque vous affichez ces logos.
Réduisez le nombre de domaines utilisés par votre site, en particulier pour les connexions
Demander un nom d'utilisateur et un mot de passe pour le site X semble très suspect sur le site Y. Non seulement cette pratique ne nous aide pas à évaluer votre site Web, mais vous habituez aussi par inadvertance les visiteurs à ignorer les URL suspectes, ce qui les rend plus vulnérables aux tentatives d'hameçonnage. Si votre page de connexion doit absolument se trouver sur un domaine différent de celui de votre site principal, envisagez d'utiliser un proxy transparent pour permettre aux utilisateurs d'accéder à cette page à partir de votre domaine principal. Si tout échoue...
Facilitez la recherche des liens vers vos pages
Il n'est pas simple pour nous (ni pour vos utilisateurs) de déterminer qui contrôle une page en dehors du domaine de votre site si les liens vers cette page depuis votre site principal sont difficiles à trouver. Pour remédier à ce problème, il suffit de renvoyer chaque page externe au domaine vers une page du domaine principal qui renvoie elle-même vers cette page. Si vous ne l'avez pas encore fait et que l'une de vos pages se retrouve dans notre liste par erreur, veuillez indiquer dans la rapport d'erreur où trouver le lien entre votre site principal et la page bloquée par erreur. Toutefois, si vous ne faites rien d'autre...
N'envoyez pas des liens inhabituels par e-mail ou messagerie instantanée
Il nous est impossible de vérifier les liens inhabituels qui apparaissent uniquement dans vos e-mails ou vos messages instantanés. Pire encore, l'utilisation de ces types de liens habitue vos utilisateurs, clients et amis à cliquer sur les liens inhabituels qu'ils reçoivent par e-mail ou messagerie instantanée, leur faisant ainsi courir le risque d'être victimes de crimes en ligne au-delà du hameçonnage.
Bien que ces recommandations puissent sembler logiques, nous avons constaté que de grandes entreprises du secteur de l'e-commerce et des services financiers enfreignent de temps en temps ces consignes. Le respect de ces recommandations vous aidera non seulement à améliorer votre expérience avec nos systèmes anti-hameçonnage, mais aussi à offrir une meilleure expérience en ligne à vos visiteurs.