ShieldSign : un phare contre le phishing


Publié & Lecture
— ~7 min
Intention
-
Biais
Validité


Illustration - ShieldSign : un phare contre le phishing

Le phishing en 2025, c’est un peu comme les moustiques en été : tout le monde sait que ça existe, tout le monde se fait piquer quand même.

On répète aux gens :

« Regarde bien l’URL, vérifie le certificat, méfie-toi des emails suspects… »

Résultat : la moitié ne regarde rien, l’autre moitié regarde… mais ne sait pas quoi en faire.

C’est là que ShieldSign arrive : une petite extension de navigateur, open source, qui ne fait qu’une seule chose, mais elle la fait bien :
te dire « Ici, tu peux taper ton mot de passe, ce domaine a été validé » — et uniquement dans ce sens-là.

Et pour une fois, ce n’est pas un énième “antivirus dans le cloud”, mais un outil 100 % côté navigateur, sans backend, sans tracking, sans magie noire marketing.

Le problème : l’utilisateur n’a aucun repère visuel fiable

Aujourd’hui, une page de login “légitime” et une page de phishing bien faite se ressemblent comme deux gouttes d’eau.

  • Le logo est le même.

  • Les couleurs sont les mêmes.

  • L’URL ? Quand tu ne sais pas si login.monbanque-secure.com est normal ou pas, ça ne t’aide pas beaucoup.

Le gros problème, c’est que le navigateur ne t’indique presque jamais que tu es sur un bon site, il te dit juste parfois que tu es sur un site franchement pourri (certificat HS, HTTP, etc.).

En pratique, l’utilisateur se débrouille avec…
➡ un cadenas qu’il ne comprend pas,
➡ une URL qu’il ne lit pas,
➡ et des mails bien léchés qui imitent parfaitement le vrai.

ShieldSign renverse le modèle :
au lieu d’essayer de deviner ce qui est mauvais, il confirme explicitement ce qui est bon.

L’idée de base : la whitelist visuelle

ShieldSign fonctionne avec une ou plusieurs listes blanches de domaines (whitelists), structurées en trois niveaux avec priorité :

  1. Liste entreprise (priorité 1)
    Gérée par l’organisation : tous les domaines de login “officiels” (SSO, intranet, portails métiers, etc.).
    C’est LA vérité pour les collaborateurs.

  2. Liste personnelle (priorité 2)
    Gérée par l’utilisateur : sa banque, ses webmails, ses outils en ligne, son instance de Nextcloud, etc.

  3. Listes communautaires (priorité 3)
    Listes publiques maintenues par la communauté, dont une liste officielle ShieldSign (déjà 65+ domaines légitimes courants).

Quand tu arrives sur une page avec un champ de mot de passe, ShieldSign :

  1. détecte le formulaire de login,

  2. récupère le domaine de la page,

  3. regarde si ce domaine apparaît dans une des listes (entreprise, perso, communautaire),

  4. si oui, il affiche un signal visuel clair.

Si le domaine n’est dans aucune liste :
pas de validation, pas de bandeau “tout va bien”, pas de faux sentiment de sécurité.
Tu es dans une zone grise : c’est exactement ce qu’on veut faire ressentir.

Le phare : badge, bandeau et anti-fausse-bannière

Une extension de sécurité qui se contente de mettre un petit badge, c’est sympa… jusqu’au jour où un attaquant décide d’imiter ce badge sur sa page de phishing.

ShieldSign prend le problème au sérieux et propose 3 modes de validation anti-phishing : (GitHub)

1. Le mode “Badge uniquement” (discret)

  • Aucun bandeau dans la page.

  • Un point vert s’affiche sur l’icône de l’extension quand le domaine est validé.

  • Avantage : très discret, ne casse pas l’UI.

  • Limite : il faut penser à regarder l’icône à chaque fois.

Bien pour les power-users qui ont déjà les bons réflexes.

2. Le mode “Bandeau + mot-clé personnel”

Là, ça devient intéressant.

  • Un bandeau s’affiche en haut de la page de login avec ton mot-clé secret (une phrase ou un mot d’au moins 5 caractères).

  • Seule ton extension connaît ce mot-clé, il n’est pas stocké sur un serveur, pas partagé.

Si tu vois ton mot-clé habituel sur un site où tu te connectes souvent → feu vert.
Si le bandeau n’apparaît pas, ou que le texte est différent → tu te poses des questions.

Pour un attaquant, c’est ingérable : impossible de savoir quel mot-clé afficher. Copier “le vert” ne suffit plus.

3. Le mode “Code aléatoire synchronisé” (recommandé)

Le mode le plus malin.

  • À chaque visite d’une page de login whitelistée, ShieldSign génère un code alphanumérique de 2 caractères (ex : A7, H4, 8R).

  • Ce code est affiché :

    • dans le bandeau sur la page,

    • et sur le badge de l’icône de l’extension.

  • Tu vérifies simplement : badge = bandeau ?
    → OK, c’est bien ton extension qui parle.

Aucune mémorisation pour l’utilisateur, mais une gigantesque galère pour le phisher :

  • il devrait deviner le code à chaque chargement,

  • au bon moment,

  • synchronisé avec ton navigateur.

Bref, mission impossible, et toi tu as un repère visuel simple.

Côté utilisateur : comment ça se passe au quotidien ?

Scénario typique :

  1. Tu installes ShieldSign sur ton navigateur.

  2. Tu choisis ton mode :

    • discret (badge),

    • mot-clé,

    • ou code aléatoire (reco).

  3. Tu actives la liste communautaire officielle (c’est par défaut), éventuellement tu ajoutes quelques autres listes publiquement maintenues.

  4. Tu rajoutes tes propres domaines sensibles dans la liste personnelle (banque, webmail, instance perso, etc.).

Ensuite :

  • Tu vas sur un site de login connu → le bandeau apparaît (ou le badge passe au vert avec code).

  • Tu vas sur un lien de phishing / douteux → rien. Silence radio.
    Et ce silence devient, justement, un signal.

Tu peux aussi :

  • laisser ShieldSign te proposer d’ajouter automatiquement un nouveau site rencontré,

  • ou choisir l’option “Me demander” pour garder la main quand tu te connectes la première fois sur un nouveau domaine.

Côté entreprise : un bouclier simple à déployer

Pour une organisation, le phishing ciblé (Microsoft 365, SSO, extranet, SaaS métier) est un cauchemar permanent.

ShieldSign coche plusieurs cases intéressantes côté RSSI / SecOps :

  • Liste entreprise unique, préconfigurée via politique de groupe (Chrome/Edge) ou MDM.

  • Mise à jour centralisée de la liste JSON sur un serveur interne (avec ETag, TTL, etc.).

  • Aucune infra backend à maintenir : tout se passe dans l’extension.

  • Personnalisation du bandeau aux couleurs de l’entreprise pour un repère visuel très clair.

  • Mode entreprise séparé des listes perso, pour éviter la pollution des sources.

En clair : tu publies ta liste officielle (login.societe.com, sso.societe.com, portal.saas-ent.com), tu briefes les utilisateurs :

“Tu saisis ton mot de passe uniquement quand le bandeau entreprise apparaît avec le code.”

Tu ne supprimes pas le risque de phishing (impossible), mais tu viens de glisser un gros caillou dans la chaussure des attaquants.

Pourquoi c’est intéressant même pour les particuliers

On pourrait croire que c’est un outil “d’entreprise”, mais en réalité il répond parfaitement aux besoins du particulier qui :

  • n’a pas envie de devenir expert SSL/TLS,

  • a 3–4 sites vraiment critiques (banque, impôts, webmail, hébergeur),

  • sait très bien qu’un mail “Votre compte sera fermé dans 24h” finira par l’attraper un jour de fatigue.

Lui dire :

“Tu ne tapes ton mot de passe que si tu vois ce bandeau vert + code”

c’est bien plus efficace que 40 minutes de sensibilisation sur l’URL bar.

Où installer ShieldSign ?

ShieldSign est disponible gratuitement, en open source, et installable en quelques clics :

Le code source complet, la doc, le schéma JSON pour les listes et les détails techniques sont ici :

En résumé

  • ShieldSign ne bloque pas les sites suspects,

  • il valide explicitement les sites de confiance.

  • Il s’appuie sur des listes blanches hiérarchisées (entreprise, perso, communauté).

  • Il utilise des codes ou mots-clés impossibles à imiter pour éviter les faux bandeaux.

  • Il ne nécessite aucun serveur, ne remonte aucune donnée, et reste sous ton contrôle.

C’est un peu l’équivalent numérique d’un “mot de passe de reconnaissance” qu’on se donnait dans les films d’espionnage… sauf que là, tu peux vraiment le déployer à l’échelle d’un parc de navigateurs.