On connaît bien la forme classique des campagnes de phishing qui consiste à envoyer un message à caractère urgent et invitant la victime à se rendre sur un site imitant parfaitement un site institutionnel. Il faudra ensuite que la victime renseigne son identifiant, son mot de passe puis des données personnelles : son numéro de carte bancaire, le plus souvent.

Mais en observant attentivement l’URL du site en question, on se rend vite compte qu’il ne s’agit pas d’un site officiel. On trouvera une lettre en plus, un « o » remplacé par un « 0 »…

Depuis quelques temps, on observe une recrudescence des attaques par homographe, beaucoup plus pernicieuses.
Sur son blog, le chercheur Xudong Zheng nous propose une expérience pour nous montrer à quel point il faut redoubler de vigilance.

Cette technique est relativement simple à mettre en œuvre et peut s’appliquer à n’importe quel nom de domaine enregistré, ou non.
Ce lien en est une preuve supplémentaire.

 

Punycode, la syntaxe de codage des noms de domaines internationalisés, permet de remplacer des caractères UTF8 classiques par des caractères ASCII similaires, que l’on appelle des homographes. On parle donc d’attaque par homographe.
Les pirates ne se contentent donc plus d’imiter un site à la perfection, mais ils utilisent cette faille pour usurper l’URL légitime du site en question.

Il existe plusieurs solutions pour se protéger.

1 – Vérifier le certificat SSL

La première consiste à vérifier le certificat SSL du site que vous visitez, lorsqu’il y en a un :

On constate ici que le « véritable » nom de domaine n’est pas apple.com mais www.xn--80ak6aa92e.com.

2 – Vérifier le cookies

Il est également possible de vérifier les cookies :

3 – Afficher les noms de domaines en Punycode

Dans un navigateur comme Firefox, il est possible d’afficher les noms de domaine sous leur forme Punycode. Il faut aller dans about:config et passer network.IDN_show_punycode à true.

4 – IcoCerberus.Mel

Pour une protection véritablement efficace, IcoCerberus.Mel, le système de filtrage antivirus/antispam d’Icodia, détecte ce type d’attaque dans les e-mails, en analysant le codage utilisé pour les URLs contenues dans les messages.

Le module « SCAM » prévient directement du risque et bloque les emails malveillants.