Passer au contenu

Faites attention, ce phishing pratiquement indétectable est une vraie plaie

Il est un dicton qui dit : “l’habit ne fait pas le moine”. Cet adage qui remonte au Moyen Âge ne s’est jamais autant vérifié qu’avec la récente prouesse du chercheur en sécurité Xudong Zheng.

Si vous utilisez Google Chrome, Mozilla Firefox ou Opera et que vous vous rendez sur ce lien (qui est sûr, rassurez-vous), vous noterez rapidement que quelque chose cloche. L’URL affiche “www.apple.com”, la connexion est en HTTPS et un cadenas vert nous informe que le site bénéficie d’un certificat de sécurité. Pourtant, pas la moindre trace du site de la marque à la pomme. Bravo, vous êtes face à une attaque homographique, une technique d’arnaqueur qui ne date pas d’hier. En effet, cette adresse “www.apple.com” est en réalité écrite en caractères cyrilliques. Ajoutez à cela une police d’écriture bien particulière, et vous obtenez une adresse qui ressemble à s’y méprendre à apple.com.

Un problème difficile à résoudre

En 2003, l’ICANN (Internet Corporation for Assigned Names and Numbers) introduisait les noms de domaine internationaux, qui offrent la possibilité de créer des URLs avec des caractères différents de ceux latins, tels que l’alphabet cyrillique. Il faudra attendre 2005 pour voir apparaître les premières attaques dites “homographiques”, ce qui n’a pas manqué d’alerter l’ICANN. Sauf qu’il n’existe pour le moment, aucune solution concrète pour lutter contre ce type d’arnaque. Il y a six ans, un groupe de pirates est parvenu à créer un faux site reprenant l’adresse de paypal.com.

Google et Mozilla tentent, tant bien que mal, de mettre en place moult algorithmes et filtres pour lutter contre ce problème. Les deux principaux navigateurs se basent notamment sur un algorithme capable de déterminer si oui ou non il faut afficher l’URL en caractères latins ou en natif, lorsque cette dernière mélange des lettres tirées de plusieurs alphabets.

Mais comme l’a constaté Xudong Zeng, lorsqu’une adresse ne comporte que des caractères cyrilliques, elle passe sous le radar. Google promet un patch dans la version 58 de Chrome, prévue pour la fin du mois. Quant à Firefox, Mozilla a annoncé qu’un correctif était également dans les tuyaux, mais n’a précisé aucune date de déploiement.

Shérif, ne me fait pas peur !

Mais plutôt que de chercher à vous faire peur, voici quelques astuces pour prévenir ce genre d’arnaques. Au cas où vous tomberiez sur un site qui vous semble louche, mais qui pourtant s’affiche comme étant sécurisé, il vous suffit de vérifier le certificat.

Sur Chrome, rendez-vous dans “Plus d’outils” puis “Outils de développement”. Cliquez sur l’onglet “Security”, puis sur le bouton “View Certificate”. Pour ce qui est de Firefox, vous devez cliquer sur le cadenas vert, puis sur l’onglet “Sécurité” et enfin sur “Afficher le certificat”.

Et comme “un homme averti en vaut deux” (histoire de rester dans les expressions courantes, la langue française est merveilleuse), vous voilà prévenu.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

19 commentaires
  1. Effectivement, en Chrome 57, j’avais bien “apple.com”, mais je viens de mettre à jour en 58 et maintenant j’ai “www.xn--80ak6aa92e.com/”

  2. Sinon, sous Firefox, on peut simplement aller dans about:config, et passer le paramètre network.IDN_show_punycode à true. (Bien sûr, si vous allez souvent sur des sites ayant légitimement une URL en unicode, ça risque de vous déranger…)

  3. un bête copier coller dans Word et l’URL se transforme en “https://www.xn--80ak6aa92e.com/” vu que ce n’est pas la même police.
    mais faut le savoir j’avoue =)

  4. Edge prévient qu’il ne s’agit pas du bon site !

    Hey there!
    This may or may not be the site you are looking for! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way unicode domains are handled in browsers.
    See what this is about

    1. comme montré dans les captures d’écrans du JDG pour chrome et firefox ^^
      Le lien donné par le JDG ne sert que d’exemple, c’est fait exprès que tu ais ce message ^^

        1. Justement, c’est écrit apple.com dans dans ta barre mais le navigateur affiche un autre site. C’est ça le problème.

          1. Non mais Edge n’affichera pas apple.com mais directement l’adresse réelle du site

          2. je confirme sur mon Winphone ça m’a affiché le lien dans sa forme “véritable”

  5. sinon vous remplacer un caractere dans l’url et vous faites “entrer”. Le mélange des caracteres cyrilliques et de votre caractère inséré rendra le tout detectable par les anciens filtres de crhome et firefox.

    En gros dans l’exemple http://www.apple.com, vous pouvez remplacer le faux “a” ou n’importe quelle fausse lettre par la vraie. Si l’URL est bonne cela fera un simple refresh avec la touche “entrer” sinon l’URL fraudeuse ne fontionnera pas et vous votre navigateur vous affichera le melange de l’url en question et de votre insertion

  6. A quoi sert un anti virus pour internet si ils faut back checker les url et lire les certificat d’authentification.
    Dite vous le prochain onze septembre sera celui où tout le monde aura perdu leur argent pour leur achat en ligne
    1$ pour 4 milliard personne c’est rentable imaginer 10$, 100 où tout vos économies disparue dù a l’internet
    Les transaction bancaire ce font avec internet mais un internet entre le black web et le web conventionnelle, entk une technologie payé à fort prix pour un énorme profit.

  7. ou simplement ne pas cliquer sur un lien dans un mail ou sur un site peu sérieux. pour vos site e commerce et banque taper l’adresse et ajouter le dans vos favoris

Les commentaires sont fermés.

Mode