Une faille dans Chrome, Firefox et Opera ouvre la porte au phishing
Mickaël Bazoge | | 16:21 | 20Il est parfois difficile de distinguer les caractères ASCII disponibles dans Unicode. En cyrillique par exemple, la graphie de lettre « а » (U+0430) est très proche de la graphie de la lettre « a » en alphabet latin (U+0061). Les navigateurs web s’en arrangent très bien grâce à Punycode qui transforme une chaîne de caractères Unicode en chaîne ASCII.
En termes de sécurité informatique, cela peut poser un problème car il est ainsi possible d’enregistrer une URL qui sera graphiquement très proche d’une autre, mais qui emportera l’internaute vers un autre site. En somme, une tentative de phishing de la plus belle eau.
Dans Chrome, Firefox et Opera, une adresse comme xn--80ak6aa92e.com ne comprend que des caractères cyrilliques qui s’afficheront sous la forme apple.com. C’est aussi le cas de l’URL xn--e1awd7f.com qui va s’afficher sous la forme epic.com. Les polices utilisées par les deux navigateurs en question ne permettent pas de distinguer le vrai du faux, explique le chercheur en sécurité Xudong Zheng.
Il devient donc impossible d’identifier le site malveillant, sans consulter au préalable son certificat SSL. Et encore : selon Wordfence, un malandrin peut déposer un nom de domaine trompeur et acquérir un certificat SSL tout à fait valide auprès de LetsEncrypt, par exemple. Les utilisateurs de ces navigateurs sont donc susceptibles de tomber sur des sites d’hameçonnage dont les URL ressemblent comme deux gouttes d’eau à celles des sites légitimes. Microsoft Edge, Explorer et Safari sont immunisés, ces navigateurs présentant les URL malveillantes sous leur forme originale.
Ce type d’attaque, dite homographique, est connu depuis 2001, comme le raconte Silicon.fr. Le mécanisme de protection mis en place pour contrer ces attaques a une faille : si tous les caractères de l’URL sont remplacés par des équivalents issus d’une langue étrangère, l’adresse est en mesure de tromper les navigateurs faillibles comme c’est le cas des deux exemples ci-dessus.
Pour éviter de se faire avoir, on peut naviguer sur internet avec un des trois navigateurs qui ne présentent pas la faille. La vulnérabilité a été corrigée dans Chrome 59, elle le sera aussi dans Chrome 58. Quant à Firefox, il existe une manipulation : tapez about:config dans la barre d’adresse, recherchez punycode et dans le paramètre network.IDN_show_punycode remplacez la valeur false par true.
Facebook
Twitter
RSS
20 Commentaires Signaler un abus dans les commentaires
Bonjour,
Je viens de chercher sur Firefox (52.01), et la valeur est déjà "false' par défaut.
Même chose avec Firefox 52.0.2 où la valeur par défaut est déjà false.
@ malijoli
idem.
Ne serait-il pas plus simple que lors de la création des tables de correspondance DNS on fasse attention à ce genre d'entourloupe et que l'on refuse de telles adresses ? Ce serait d'ailleurs assez décourageant pour les arnaqueurs. Mais cela est du ressort du grand patron du NET, les USA.
Un DNS n'est qu'un index qui associe une adresse de type www.apple.com a 17.172.224.47. C'est au proprietaire de l'IP de gerer son entrée DNS, et n'importe qui peut creer une adresse trafiquée pour ressembler a www.apple.com et la rediriger sur une IP qui lui appartient.
C'est peut etre choquant mais il serait surtout plus efficace de limiter les adresses dans toute la chaine au jeu de caractere ASCII latin de base.
Le support, au niveau des protocoles reseaux, des caracteres non ASCII latin a ete ajouté avec des mecanismes bidouillés. Ça n'a jamais été cohérent et encore moins sécurisé.
Donc soit on revoit l’intégralité des protocoles en posant qu'Unicode (quelle version en plus) est la base universelle, soit on exclut tout ce qui n'est pas l'ASCII latin.
Et il faut se rappeler que l'URL n'est qu'une apparence pour l'humain, car derrière le DNS doit la traduire en adresse IP v4 (xxx.xxx.xxx.xxx comme 17.172.224.47) qui va devenir au final un nombre codé sur 32bits en base binaire (une serie de 0 et de 1).
Et pour compliquer les chose, on a des DNS dynamique qui font varier l'adresse IP tout en gardant la meme URL...
Il suffit alors que le DNS soit corrompu ( au niveau de l'internet, mais aussi de la machine elle meme) et on peut alors etre redirigé sur n'importe quoi.
Bref, le systeme DNS n'a jamais ete conçu pour la securité mais comme une facilité pour l'humain.
Il faut de plus mettre en garde que seule l'adresse affichée peut être démasquée en regardant son apparence dans la barre d’adresse, parce que le lien HTML lui ne montre pas l'adresse... Donc le phishing, qui cible des personnes non formée a la sécurité, a de beaux jours devant lui, surtout que les navigateurs présentent de manière de plus en plus invisibles les adresses (comme Safari, ou il faut aller dans les preferences avancées pour forcer l'affichage de l'adresse complète (URL)... ) !
A noter que ce genre d'astuce fonctionne aussi au niveau des fichiers avec les langues non "droitière" (arabe, langues asiatique,...). On alors peut avoir des fichiers executables qui ont l'apparence de fichiers de données... C'est la celebre attaque RTLO (http://resources.infosecinstitute.com/spoof-using-right-to-left-override...)
Bon, maintenant on commence aussi a voir (malheureusement) des astuces pour afficher les adresses réseau en... emoji => http://www.linkmoji.co/
Attention! Après essais dans Firefox 52.0.2 (64-bit) c'est le contraire:
si network.IDN_show_punycode = true
alors l'adresse qui est affichée est "xn--e1awd7f.com"
si network.IDN_show_punycode = false
alors l'adresse qui est affichée est "www.еріс.com"
Edit: merci à Mickaël Bazoge qui a mis l'article à jour.
+1 . Je viens d'essayer ... Il faut mettre : true
+1 également, passé à "True"
Au final le plus sûr reste de taper l'URL du site...
Умные мошенники!
Sont quand-même futés les mecs....
Parce qu'ils utilisent le fait que l'internet n'a jamais ete conçu pour etre securisé?
Le phishing est une des attaques de base qui s’appuie sur la meconnaissance des protocoles réseaux et sur les facilité "humaines" mise en place.
Et en informatique, ou l'on ecrit un truc rapidement pour resoudre un probleme technique et ou l'on pense ensuite aux consequences et utilisations detournées (souvent face a une exploitation decouverte avec de la chance), c'est legions.
C'est pour cela que certains outils qui répertorient les sites de phishing, scam, malware... ne sont pas dénués d'intérêt.
Oui, mais ils ne permettent que d'agir a posteriori, une fois qu'ils ont ete signalés.
C'est comme les antivirus, ils de detectent que la signature d'un malware identifié, donc il faut que le malware ait ete prealablement identifié (y a bien des antivirus "predictifs" mais ils sont inneficaces et souvent sont la cause de problemes pire que les virus eux memes)
Un truc simple consiste a utiliser les signets. On fait bien attention a taper l'adresse la premiere fois et ensuite on utilise que le signet. bien sur il faut activer l'affichage complet de l'URL dans la barre d'adresse, les navigateurs ayant pour mauvaise habitude de n'afficher que partielement cette adresse voire n'afficher que le nom du site et pas son adresse...
Un autre element de securité serait que le navigateur affiche explicitement l'URL complete, ses caracteristiques (URL utilisant l'alphabet cyrilique / japonais/ arabe/... sens d'ecriture,...) et l'IP associée dans un dialogue lorsqu'on clique sur un lien.
Ça devient lourd, mais vu que c'est explicite cela reduit les risques. Et on peut imaginer que le navigateur pourrait proposer une mise en signet de ce lien et le comparer par la suite...
Apres il y a aussi tous ce qui est chargé dans une page WEB qui peut presenter un risque. Et avec la multiplication de la publicité qui surcharge les pages WEB, il y a une multiplication des risques et une augmentation des difficultés de détection des fraudes...
Sur l'ipad, j'ai essayé plusieurs navigateurs, et seul chrome s'est fait avoir (safari, chrome, google, firefox et mercury)...
Dans Firefox 53 la valeur est true
Non, dans Firefox 53 c'est toujours "false" par défaut. Donc il faut faire la manip indiquée dans l'article pour passer à "true".
Non chez moi c'était "true" sinon je n'aurai pas fait cette intervention
Merci pour l'info ;-)