Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour,

 

phishing presque impossible à détecter.

 

Un chercheur en sécurité a forgé une fausse adresse "apple.com" en utilisant des caractères cyrilliques. Un type d’attaque loin d’être nouveau, mais toujours aussi redoutable.

 

Ce qui apparaît sécurisé ne l’est pas forcément. Si vous utilisez Chrome, Firefox ou Opera et que vous cliquez sur ce lien (vous pouvez y aller, c’est juste un test), vous arrivez sur le site " www.apple.com ". Tout semble normal. La connexion est en HTTPS et on voit bien le petit cadenas vert qui nous informe sur la présence d’un certificat de sécurité en bonne et due forme. Et pourtant, il s’agit d’un faux site, créé par le chercheur en sécurité Xudong Zheng. Ce qui ouvre la porte à de multiples arnaques par phishing. Comment est-ce possible ?

 

En réalité, cette tactique n’est pas nouvelle. Baptisée " attaque homographique ", elle s’appuie sur les noms de domaine internationalisés que l’ICANN a introduit en 2003 et qui permettent de créer des URLs avec des caractères autres que latins. Dans le cas présent, le chercheur a utilisé des caractères cyrilliques qui, étant donné la police de caractères utilisée dans la barre d’adresse, ressemble à s’y méprendre à " www.apple.com ".

Le seul moyen d’en avoir le cœur net est de vérifier le certificat. Dans Chrome, il faut aller dans " Plus d’outils -> Outils de développement " et cliquer sur l’onglet " Security ", puis sur le bouton " View certificate ". On voit alors que la véritable URL est " www.xn--80ak6aa92e.com ". Rien à voir avec Apple.

 

Les attaques homographiques sont apparues pour la première fois en 2005, générant une alerte de la part de l’ICANN. Mais depuis, aucune véritable solution n’a été trouvée à ce problème. Comme le relève The Register, le sujet a bien été posté dans un fil de discussion de l’ICANN, mais il est loin d’avoir passionné les foules. Régulièrement, des attaques homographiques font donc leur apparition. En 2011, des spammeurs ont ainsi usurpé l’identité du site " paypal.com " en utilisant là encore des caractères cyrilliques.

 

Les éditeurs de navigateurs tentent de lutter contre ce problème à coup d’algorithmes de filtrage et/ou de listes blanches. Chrome et Firefox, par exemple, disposent chacun d’un algorithme qui leur permet de décider quand il faut afficher l’URL en format natif ou en caractères latins. Typiquement, quand l’URL mélange des caractères de différentes origines, elle n’est pas considérée comme digne de confiance et c’est donc la version latine qui est montrée. Mais visiblement, les adresses totalement en cyrillique, comme celle forgée par Xudong Zheng, ne posaient pas de problème jusqu’à présent. Les trois éditeurs concernés seront donc contraints de mettre à jour leurs dispositifs de sécurité. Google va apporter un correctif dans la version 58, qui devrait arriver d’ici fin avril. Un patch est également en préparation chez Mozilla, mais aucune date n’a été annoncée.

 

 

Punycode est un système utilisé par nos navigateurs pour utiliser des noms de domaines internationalisés (IDN):
https://fr.wikipedia.org/wiki/Punycode

Et ce afin d'utiliser et d'afficher des URLs avec caractères non ASCII: cyrillique, grec, chinois, etc, ou encore lettres accentuées.
Les noms de domaine internationalisés sont convertis dans un nom de domaine ASCII commençant par xn--.

Seulement voilà, des petits malins ont compris qu'ils pouvaient détourner cet avantage à leur profit en vous faisant croire que vous êtes sur un site légitime et de confiance alors que vous êtes sur un autre. C'est la technique du hameçonnage ou phishing en anglais.

Car la plupart des navigateurs afficheront par défaut l'URL "reconstituée" à partir du punycode, ce qui peut être détourné, par exemple:
https://www.xn--e1awd7f.com vous fera croire que vous êtes sur https://www.epic.com
https://www.xn--80ak6aa92e.com vous fera croire que vous êtes sur https://www.apple.com

Parade pour afficher l'URL réelle, mais "moche", dans Firefox et ses clones:
Taper dans about:config dans la barre d'adresse
Oui, oui, je vais faire attention
Taper "puny", sans les guillemets, dans la barre Rechercher
Faire un double click sur network.IDN_show_punycode afin de modifier sa valeur en "true"
C'est fait, fermer la fenêtre about:config

Pour Chrome et ses clones il semble qu'il n'existe pas de parade manuelle pour l'instant. Solutions possibles:
Utiliser l'extension Punycode Alert : https://chrome.google.com/webstore/det ... fghekidjibckjmhbhhjeomlda
Utiliser la version de développement 58.0.3029.81
Faire très attention aux URLs en attendant la release de la version 58

 

Source : Lotesdelere sur Gratilog.net

Modifié par Wullfk

Posté(e)

Bonsoir à tous les deux

 

Je pense que cette modification n'aura plus lieu d'être lorsque Mozilla aura sortie un vrai patch correctif.....mais quand ?

  • Modérateurs
Posté(e)

Bonjour pustelnik,

Merci de m'avoir rappelé l'existence de Palemoon que, moi aussi, j'utilise rarement.

Essentiellement pour accéder aux vidéos à la demande de Canal+ (cause Silverlight).

Posté(e)

Moi aussi j'utilise Palemoon mais uniquement pour jouer au Scrabble sous Facebook. Je fait donc la modif de suite !

 

Merci !

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...