Rachna Dhamija (Université de Harvard), J. D. Tygar et Marti Hearst (Université de Californie à Berkeley) ont menés une étude approfondie sur le phénomène croissant du phishing dont les résultats seront exposés à la conférence CHI 2006 ("Conference on Human Factors in Computing Systems") qui se tiendra au Palais des Congrès de Montréal du 22 au 27 avril 2006.

L'étude appelée "Why Phishing Works" est inquiétante à plusieurs titres. L'analyse est basée sur un panel d'utilisateurs confrontés à vingt sites web dont seuls sept sont vrais et existants, les autes sites employant diverses techniques de phishing plus ou moins évoluées.

Elle tend à démontrer que les mesures de protection intégrées aux navigateurs (comme les certificats, protocoles de sécurisation des échanges SSL/TSL) et même les extensions anti-phishing, avant qu'on puisse en critiquer l'efficacité, ne sont pas toujours comprises ou réellement prises en compte par leurs utilisateurs. On pourrait croire que l'internaute, désormais largement informé des risques d'être amené à visiter ou de tomber sur un site frauduleux (imitant par exemple le portail d'un établissement bancaire en ligne ou d'un prestataire de services comme Paypal), est naturellement amené à devenir suspicieux et prudent dès lors qu'il viendra consulter ces site.

Il ressort que le principal problème découle d'un manque minimum de connaissances informatiques et astuces basiques à retenir avant d'évoluer sur Internet . Certains utilisateurs abusés par les auteurs de phishing ne sachant pas reconnaitre et différencier deux noms de domaine contenant pourtant des caractères bien distincts, il est même inutile aux pirates de forger des pièges subtils.

De là à penser qu'un "permis de surfer" devrait être instauré avant de pouvoir utiliser le réseau mondial ...


L'étude "Why Phishing Works", Rachna Dhamija, J. D. Tygar and Marti Hearst. [PDF]