Attention au phishing via IDN Punycode sur les navigateurs

[Wullfk]

Bonjour,

 

phishing presque impossible à détecter.

 

Un chercheur en sécurité a forgé une fausse adresse "apple.com" en utilisant des caractères cyrilliques. Un type d’attaque loin d’être nouveau, mais toujours aussi redoutable.

 

Ce qui apparaît sécurisé ne l’est pas forcément. Si vous utilisez Chrome, Firefox ou Opera et que vous cliquez sur ce lien (vous pouvez y aller, c’est juste un test), vous arrivez sur le site " www.apple.com ". Tout semble normal. La connexion est en HTTPS et on voit bien le petit cadenas vert qui nous informe sur la présence d’un certificat de sécurité en bonne et due forme. Et pourtant, il s’agit d’un faux site, créé par le chercheur en sécurité Xudong Zheng. Ce qui ouvre la porte à de multiples arnaques par phishing. Comment est-ce possible ?

 

En réalité, cette tactique n’est pas nouvelle. Baptisée " attaque homographique ", elle s’appuie sur les noms de domaine internationalisés que l’ICANN a introduit en 2003 et qui permettent de créer des URLs avec des caractères autres que latins. Dans le cas présent, le chercheur a utilisé des caractères cyrilliques qui, étant donné la police de caractères utilisée dans la barre d’adresse, ressemble à s’y méprendre à " www.apple.com ".

Le seul moyen d’en avoir le cœur net est de vérifier le certificat. Dans Chrome, il faut aller dans " Plus d’outils -> Outils de développement " et cliquer sur l’onglet " Security ", puis sur le bouton " View certificate ". On voit alors que la véritable URL est " www.xn--80ak6aa92e.com ". Rien à voir avec Apple.

 

Les attaques homographiques sont apparues pour la première fois en 2005, générant une alerte de la part de l’ICANN. Mais depuis, aucune véritable solution n’a été trouvée à ce problème. Comme le relève The Register, le sujet a bien été posté dans un fil de discussion de l’ICANN, mais il est loin d’avoir passionné les foules. Régulièrement, des attaques homographiques font donc leur apparition. En 2011, des spammeurs ont ainsi usurpé l’identité du site " paypal.com " en utilisant là encore des caractères cyrilliques.

 

Les éditeurs de navigateurs tentent de lutter contre ce problème à coup d’algorithmes de filtrage et/ou de listes blanches. Chrome et Firefox, par exemple, disposent chacun d’un algorithme qui leur permet de décider quand il faut afficher l’URL en format natif ou en caractères latins. Typiquement, quand l’URL mélange des caractères de différentes origines, elle n’est pas considérée comme digne de confiance et c’est donc la version latine qui est montrée. Mais visiblement, les adresses totalement en cyrillique, comme celle forgée par Xudong Zheng, ne posaient pas de problème jusqu’à présent. Les trois éditeurs concernés seront donc contraints de mettre à jour leurs dispositifs de sécurité. Google va apporter un correctif dans la version 58, qui devrait arriver d’ici fin avril. Un patch est également en préparation chez Mozilla, mais aucune date n’a été annoncée.

 

 

Punycode est un système utilisé par nos navigateurs pour utiliser des noms de domaines internationalisés (IDN):
https://fr.wikipedia.org/wiki/Punycode

Et ce afin d'utiliser et d'afficher des URLs avec caractères non ASCII: cyrillique, grec, chinois, etc, ou encore lettres accentuées.
Les noms de domaine internationalisés sont convertis dans un nom de domaine ASCII commençant par xn--.

Seulement voilà, des petits malins ont compris qu'ils pouvaient détourner cet avantage à leur profit en vous faisant croire que vous êtes sur un site légitime et de confiance alors que vous êtes sur un autre. C'est la technique du hameçonnage ou phishing en anglais.

Car la plupart des navigateurs afficheront par défaut l'URL "reconstituée" à partir du punycode, ce qui peut être détourné, par exemple:
https://www.xn--e1awd7f.com vous fera croire que vous êtes sur https://www.epic.com
https://www.xn--80ak6aa92e.com vous fera croire que vous êtes sur https://www.apple.com

Parade pour afficher l'URL réelle, mais "moche", dans Firefox et ses clones:
Taper dans about:config dans la barre d'adresse
Oui, oui, je vais faire attention
Taper "puny", sans les guillemets, dans la barre Rechercher
Faire un double click sur network.IDN_show_punycode afin de modifier sa valeur en "true"
C'est fait, fermer la fenêtre about:config

Pour Chrome et ses clones il semble qu'il n'existe pas de parade manuelle pour l'instant. Solutions possibles:
Utiliser l'extension Punycode Alert : https://chrome.google.com/webstore/det ... fghekidjibckjmhbhhjeomlda
Utiliser la version de développement 58.0.3029.81
Faire très attention aux URLs en attendant la release de la version 58

 

Source : Lotesdelere sur Gratilog.net

Modifié le 20 avril 2017 par Wullfk

[Dylav]

Merci pour l'info, Wullfk.

 

Faire un double click sur network.IDN_show_punycode afin de modifier sa valeur en "true"

 

J'ai procédé...

[Invité Notpa]

Moi itou.

Merci !

[Wullfk]

Bonsoir à tous les deux

 

Je pense que cette modification n'aura plus lieu d'être lorsque Mozilla aura sortie un vrai patch correctif.....mais quand ?

[pustelnik]

Merci pour l'info,

 

Manipulation effectuée sous Firefox et Palemoon, (Même si je n'utilise Palemoon que très rarement).

 

@ plus

[Dylav]

Bonjour pustelnik,

Merci de m'avoir rappelé l'existence de Palemoon que, moi aussi, j'utilise rarement.

Essentiellement pour accéder aux vidéos à la demande de Canal+ (cause Silverlight).

[Invité Notpa]

Moi aussi j'utilise Palemoon mais uniquement pour jouer au Scrabble sous Facebook. Je fait donc la modif de suite !

 

Merci !

[Wullfk]

Hello,

 

Moi j’utilise Waterfox, heu juste en tan que navigateur secondaire