4 mars 2021

Le Phishing et les attaques homographes

Avant d’attaquer le vif du sujet, un bref rappel concernant le phishing est important

Le phishing

Le phishing est une technique d’attaque ou un fraudeur se fait passer pour un organisme connu (banque, opérateur télécom, etc.) pour tromper les utilisateurs.

L’attaquant envoie généralement un mail au nom de l’organisme en question et utilise le nom, logo, etc. sous un faux prétexte :

  • Facture non payée
  • Confirmations d’informations personnelles
  • Etc.

Un lien est souvent présent permettant de rediriger la victime vers une fausse page web « maquillée » comme une page légitime. L’objectif étant de pousser la victime à communiquer des données personnelles telles qu’un identifiant/mot de passe, des coordonnées bancaires, etc.

Cette technique d’attaques est très utilisée par les attaquants, car peu coûteuse, relativement simple à mettre en place et peut-être envoyée en même temps à des milliers d’utilisateurs dans l’espoir de récupérer des données personnelles et par la suite les exploiter. Des techniques permettant de cibler plus spécifiquement des utilisateurs existent telles que le SpearPhishing ou encore le Whaling.

Plusieurs astuces peuvent nous alerter et nous éviter de tomber dans le piège du phishing :

  • Adresse mail de l’expéditeur : Une adresse incongrue ou avec un nom de domaine inhabituel
  • Contenu du message : contenu incohérent ou contenant des fautes de grammaires ou d’orthographes par exemple
  • Pièces jointes : Fichiers dont la présence semble incohérente ou injustifiée
  • Lien hypertexte : Lien qui semble rediriger vers une adresse incongrue

Il est important de vérifier au minimum les éléments ci-dessus lors de la réception de ce type de mail et ne fournir aucune information en cas de doute.

 Les attaques homographes

Les attaquants cherchent constamment de nouvelles astuces pour rendre leurs contenus le plus conforme possible à l’original et ainsi permettre d’avoir des attaques plus efficaces. Une attaque homographe est une de ces techniques plus avancées utilisées lors d’attaques de phishing.

Une attaque par homographe est une méthode de tromperie consistant à utiliser des caractères similaires à ceux présents dans le nom original que l’on souhaite imiter. De manière basique, on peut par exemple utiliser le site g00gle.com au lieu de google.com (utilisation de zéros au lieu de O)

Noms de domaines et caractères utilisés

Pour pouvoir détailler comment ces attaques homographes sont utilisées dans les campagnes de phishing, il est important d’expliquer comment sont enregistrés les noms de domaines ainsi que les caractères qu’ils peuvent utiliser.

Historiquement, Internet était exclusivement utilisé en anglais, raison pour laquelle les noms de domaines ne pouvaient contenir que les lettres de l’alphabet (de A à Z), les chiffres (de 0 à 9) et le tiret (-). Ces caractères composent ce qu’on appelle la norme ASCII.

Cependant et pour permettre à tous les pays (et principalement ceux n’utilisant pas un alphabet latin) d’enregistrer et d’utiliser des noms de domaines dans leur langue, les caractères autorisés au niveau des noms de domaines ont été élargis.

Ainsi, un nouveau standard, appelé Unicode, a été utilisé contenant plus de 120 000 caractères. Cela permet donc aux utilisateurs de pays ayant un alphabet non latin de visualiser dans leur propre langue les domaines et URL au niveau des navigateurs internet. Ces noms de domaines internationalisés qui utilisent des caractères non latins sont appelés IDN.

Certains protocoles tels que le DNS par exemple n’autorisent que les caractères ASCII. Une traduction entre le langage Unicode et ASCII est donc nécessaire. C’est là qu’intervient le standard punycode qui est une représentation du langage et caractère Unicode en utilisant uniquement les caractères ASCII.

Conséquences sur la sécurité

Cet élargissement du nombre de caractères autorisés n’est pas sans conséquence. Parmi ces milliers de caractères, il n’est pas rare d’en trouver certains quasiment identiques. C’est ainsi que les attaquants, en utilisant cette technique, parviennent à acheter des noms de domaines quasiment impossibles à distinguer visuellement du nom de domaine original. Un attaquant pourra alors enregistrer un nom de domaine très proche d’un nom de domaine existant et connu, en remplaçant uniquement un caractère latin par un autre caractère non latin similaire.

Pour complexifier encore plus la tâche des victimes pour identifier ces attaques de phishing, les attaquants peuvent utiliser des certificats valides pour ces noms de domaines homographes. Le site semble donc légitime et le certificat également.

Un chercheur nommé Xudong Zheng a pu faire une expérience pour montrer à quel point il est complexe de repérer ce genre d’attaques :

Que pensez-vous de ce site ? Est-ce qu’il vous semble légitime ?

À première vue tout semble indiquer que nous accédons bien au site www.apple.com. En réalité, il s’agit d’un nom de domaine homographe. Le « a » utilisé n’est pas un caractère latin, mais il s’agit en réalité d’un caractère cyrillique très similaire au a et quasiment impossible à repérer. Le chercheur utilise même un certificat valide ce qui lui confère une légitimité supplémentaire.

Les attaques de phishing avancées qui utilisent entre autres ces techniques d’attaques homographes sont très difficiles à distinguer par la victime notamment avec les astuces traditionnelles de détection de phishing qu’on a pu voir précédemment.

Comment se prémunir des attaques homographes

La question essentielle à laquelle il nous faut répondre est comment se protéger contre ces attaques.

Tout d’abord, les navigateurs ont mis en place des mécanismes pour se prémunir contre ce type d’attaques. Par exemple, plusieurs d’entre eux affichent en punycode les noms de domaines qui utilisent plusieurs systèmes d’écriture en même temps. En reprenant l’exemple apple.com (avec le caractère « a » en cyrillique), le site sera affiché par le navigateur « xn–pple-43d.com ce qui permettra à l’utilisateur de ne pas être trompé.

Cependant certains attaquants peuvent modifier tous les caractères du nom de domaine usurpé et ceci dans le même système d’écriture. Cela permet donc d’éviter le mécanisme mis en place par les navigateurs.

Les navigateurs sont régulièrement mis à jour pour améliorer la sécurité et il convient d’effectuer les mises à jour régulièrement.

Il est également recommandé de vérifier les mécanismes de sécurité en place pour le navigateur que vous utilisez.

Les navigateurs ne sont pas le seul rempart contre ces attaques. Notre vigilance peut également nous protéger au travers principalement des 2 points ci-dessous :

  • Vérification plus en détail du certificat qui, au niveau du nom courant, affichera le nom en punycode. Pour vérifier ce point, il suffit d’afficher le certificat du site en question et vérifier le champ Common Name (CN).
  • Il est également recommandé, quand cela est possible, de taper manuellement (ou de faire une recherche à partir de votre moteur de recherche préféré) le nom du site reçu par mail dans le navigateur, au lieu de cliquer sur le lien fourni. De ce fait, on est alors sûr de visiter le site authentique et non une éventuelle copie.

Comme nous l’avons vu, les attaques de phishing peuvent être de plus en plus difficiles à détecter. Cependant, en combinant des mécanismes de sécurité et notre vigilance, nous pouvons nous prémunir contre elles.

Soyons donc vigilants !!!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *