Gare au phishing quasi-indétectable !

« Méfiez-vous des apparences ! », « l’habit ne fait pas le moine !», ce ne sont pas les adages qui manquent pour exprimer cette vérité universelle plus que jamais avérée en termes de sécurité informatique. Imaginez-vous, vous vous baladez sur la toile via votre navigateur habtiuel – Chrome, Firefox ou Opera -, vous vous rendez sur un site auprès duquel vous avez vos habitudes « www.apple.com », tout semble parfaitement normal. La connexion est en HTTPS et vous apercevez même le petit cadenas vert vous informant de la présence d’un certificat de sécurité validé. Pourtant, pourtant… il se pourrait que vous surfiez sur un faux site, créé par un chercher en sécurité répondant au nom de Xudong Zheng. Une expérience réalisée pour illustrér les nouveaux types d’arnaques possibles en termes de phishing. Mais alors, comment cela fonctionne-t-il ?

Les attaques homographiques

A vrai dire, cette tactique mise en lumière par le professeur Zheng n’est pas totalement inédite. Il y a même un nom consacré puisqu’on parle dans de tels cas d’« attaque homographique ». Ces attaques s’appuient sur les noms de domaine internationalisés que l’ICANN a introduit en 2003 et qui permettent de créer des URLs avec des caractères autres que latins. Dans le cas précis de notre exemple, le chercheur a eu recours des caractères cyrilliques qui, au vu de la police de caractères choisie dans la barre d’adresse, ressemble à s’y méprendre à « www.apple.com ».

Dès lors, le seul moyen d’estomper tout soupçons quant à l’adresse sur laquelle vous vous rendez est de vérifier le certificat. Pour Chrome par exemple, la marche à suivre consiste à se rendre dans les onglets « Plus d’outils -> Outils de développement » puis de cliquer sur l’onglet « Security », avant enfin d’appuyer sur le bouton « View certificate ». Dans le cas étudié ici, on observera alors que l’URL est  « www.xn--80ak6aa92e.com », on est bien loin du site d’Apple…

Si des attaques homographiques ont été recensées dès 2005, générant une alerte de la part de l’ICANN, aucune véritable solution n’a depuis été trouvée pour résoudre le problème. On observe assez régulièrement des attaques de type homographique, comme en 2011, lorsqu’un groupe de spammeurs est parvenu à usurper l’identité du site « paypal.com » en utilisant là encore des caractères cyrilliques.

L’astuce pour s’en prémunir

En attendant que les différents navigateurs trouvent la parade appropriée en perfectionnant leurs algorithmes capables d’identifier les fausses adresses, il existe un moyen efficace d’éviter une grande majorité des attaques homographiques. Cela consiste en la désactivation de l’affichage natif des noms de domaines internationalisées. Pour ce faire, sur Firefox par exemple, il vous faudra vous rendre sur la page « about:config » et mettre la variable « network.IDN_show_punycode » à « true ». L’utilisation d’un gestionnaire de mots de passe peut également apparaitre comme un bon complément pour éviter les fausses adresses car ce dernier, dans le cas de sites déjà fréquentés, ne tombera évidemment pas dans le panneau et ne fournira donc pas les identifiants à la page falsifiée. Vous savez donc ce qu’il vous reste à faire !