Les campagnes de phishing : de mieux en mieux élaborées
Depuis quelques semaines, les spécialistes en sécurité informatique mettent en garde les internautes sur la prolifération de nouvelles campagnes de phishing. Celles-ci évoluent de jour en jour en usant de l’homographie pour établir des pièges plus efficaces.
Une évolution inattendue du phishing
Selon la méthode traditionnelle, les auteurs de phishing basent leurs attaques sur deux outils interdépendants. Le premier est un email à caractère urgent qui s’affiche dans la boîte de réception comme un courrier normal avec des éléments visuels inspirant confiance. En constatant cet aspect rassurant, la victime est tentée de cliquer sur le lien dans le courrier qui renvoie sur un faux site. Celui-ci reprend les caractères et les couleurs du service associé pour l’inciter à renseigner auprès de ce dernier ses données personnelles.
En général, il est possible d’identifier rapidement ce type de phishing en inspectant l’URL du site sur lequel l’internaute a été redirigé. De plus, dans la majorité des cas, elle est différente de celle du site officiel.
Malgré cela, depuis quelques mois, les piratages informatiques reposant sur les sites homographiques se propageant sur le Web. Un exemple parfait est celui monté par le chercheur Xudong Zheng. Il a conçu un site comportant une URL apple.com, un certificat de sécurité et un protocole de transfert HTTPS.
Un phishing aux origines insoupçonnées
En réalité, le phishing homographique n’est pas récent. Il se base sur des noms de domaine internationalisés que l’ICANN a intégré dans le Web en 2003 et qui offrent la possibilité de créer des URL avec des caractères différents du latin. Dans le cas du chercheur Xudong Zheng, ce dernier a utilisé des caractères cyrilliques qui, par rapport aux lettres employées dans son adresse, ressemblent comme deux gouttes d’eau à celui du site officiel d’Apple.
La seule solution pour en connaître l’authenticité est de vérifier le certificat. Sur Chrome, il faut faire une manipulation dans cet ordre : Plus d’outils – Outilsde développement – Security –Viewcertificate. Le résultat donne l’URL exacte qui est « www.xn--80ak6aa92e.com ». On constate alors que cette adresse n’a aucun lien avec Apple.
Les solutions apportées par les éditeurs de navigateur
Normalement, lorsque l’URL associe des caractères d’origine différente, elle n’est pas jugée comme sûre et c’est la raison pour laquelle seule la version latine est affichée. Mais, à première vue, celles entièrement cyrilliques comme l’adresse de Xudong Zheng ne présentaient aucun problème jusqu’à maintenant.
En ce sens, les deux éditeurs principaux seront donc obligés d’opérer des mises à jour de sécurité. Google compte intégrer un correctif dans la version 58 de Chrome qui devrait être disponible vers fin avril. Quant à Mozilla, un patch est en cours d’élaboration, mais sa mise en ligne est encore inconnue.
D’ici là, les internautes peuvent se protéger en désactivant l’affichage natif des noms de domaine internationalisés. Sur Firefox, il faut insérer « about:config » dans la barre d’adresse et modifier la valeur de « network.IDN_show_punycode » en « true ». L’activation du gestionnaire de mot de passe est aussi conseillée, car il ne tombera pas dans le piège et ne procurera donc pas les identifiants.