Belle démonstration du chercheur en sécurité Xudong Zheng, qui montre un moyen astucieux (mais pas infaillible) d’afficher dans certains navigateurs une url reproduisant fidèlement celle du site pour lequel des malfaiteurs voudraient se faire passer, dans la cadre d’une attaque de type phishing. En utilisant Punycode, une syntaxe de codage conçue pour être utilisée en adéquation avec les noms de domaines internationalisés, il est possible d’enregistrer des noms de domaine comme « xn--pple-43d.com » » qui s’afficheront sur certains navigateurs comme « аpple.com ».

L’astuce consiste ici à utiliser le « а » cyrillique (U+0430) plutôt que le « a » ASCII (U+0061). On parle ici d’attaque homographe. Pour l’utilisateur, l’url qui s’affiche après avoir cliqué sur un lien (dans un mail, ou reçu par SMS, ou depuis une app) est la bonne, avec même le https qui sécurisera la plupart des gens. Mais il sera bel et bien sur un site tiers, et s’il entre ses informations de login, il lui en cuira.

L’attaque peut tromper de nombreux navigateurs pour peu que tous les caractères de l’url soient issus d’une même langue, par exemple tout en cyrillique « xn--80ak6aa92e.com« . L’un des moyens de découvrir la supercherie est d’aller vérifier le certificat SSL, mais mieux vaut habituer les utilisateurs à ne JAMAIS cliquer les liens reçus directement par mail, SMS ou autre, et à entrer eux-même les url des sites qu’ils veulent visiter.

Xudong a prévenu les principaux fournisseurs de navigateur de cette vulnérabilité : Safari est immunisé, Google le corrige dans Chrome 58, tandis que Firefox estime que c’est un problème à gérer du côté des gestionnaires de noms de domaine (on doute qu’ils maintiennent leur position longtemps).

En attendant, il est possible de forcer Firefox à afficher les noms non traduits : saisissez « about:config » dans la barre d’url et basculez « network.IDN_show_punycode » sur « true ».

AUCUN COMMENTAIRE

À vous la parole !

*
*