Faites attention, ce phishing pratiquement indétectable est une vraie plaie

Sur le web

Par Jules le

Il est un dicton qui dit : « l’habit ne fait pas le moine ». Cet adage qui remonte au Moyen Âge ne s’est jamais autant vérifié qu’avec la récente prouesse du chercheur en sécurité Xudong Zheng.

Si vous utilisez Google Chrome, Mozilla Firefox ou Opera et que vous vous rendez sur ce lien (qui est sûr, rassurez-vous), vous noterez rapidement que quelque chose cloche. L’URL affiche « www.apple.com », la connexion est en HTTPS et un cadenas vert nous informe que le site bénéficie d’un certificat de sécurité. Pourtant, pas la moindre trace du site de la marque à la pomme. Bravo, vous êtes face à une attaque homographique, une technique d’arnaqueur qui ne date pas d’hier. En effet, cette adresse « www.apple.com » est en réalité écrite en caractères cyrilliques. Ajoutez à cela une police d’écriture bien particulière, et vous obtenez une adresse qui ressemble à s’y méprendre à apple.com.

Un problème difficile à résoudre

En 2003, l’ICANN (Internet Corporation for Assigned Names and Numbers) introduisait les noms de domaine internationaux, qui offrent la possibilité de créer des URLs avec des caractères différents de ceux latins, tels que l’alphabet cyrillique. Il faudra attendre 2005 pour voir apparaître les premières attaques dites « homographiques », ce qui n’a pas manqué d’alerter l’ICANN. Sauf qu’il n’existe pour le moment, aucune solution concrète pour lutter contre ce type d’arnaque. Il y a six ans, un groupe de pirates est parvenu à créer un faux site reprenant l’adresse de paypal.com.

Google et Mozilla tentent, tant bien que mal, de mettre en place moult algorithmes et filtres pour lutter contre ce problème. Les deux principaux navigateurs se basent notamment sur un algorithme capable de déterminer si oui ou non il faut afficher l’URL en caractères latins ou en natif, lorsque cette dernière mélange des lettres tirées de plusieurs alphabets.

Mais comme l’a constaté Xudong Zeng, lorsqu’une adresse ne comporte que des caractères cyrilliques, elle passe sous le radar. Google promet un patch dans la version 58 de Chrome, prévue pour la fin du mois. Quant à Firefox, Mozilla a annoncé qu’un correctif était également dans les tuyaux, mais n’a précisé aucune date de déploiement.

Shérif, ne me fait pas peur !

Mais plutôt que de chercher à vous faire peur, voici quelques astuces pour prévenir ce genre d’arnaques. Au cas où vous tomberiez sur un site qui vous semble louche, mais qui pourtant s’affiche comme étant sécurisé, il vous suffit de vérifier le certificat.

Sur Chrome, rendez-vous dans « Plus d’outils » puis « Outils de développement ». Cliquez sur l’onglet « Security », puis sur le bouton « View Certificate ». Pour ce qui est de Firefox, vous devez cliquer sur le cadenas vert, puis sur l’onglet « Sécurité » et enfin sur « Afficher le certificat ».

Et comme « un homme averti en vaut deux » (histoire de rester dans les expressions courantes, la langue française est merveilleuse), vous voilà prévenu.