Bitsquatting - Comment ça marche ?
Je connaissais la pratique du typosquattingpour les noms de domaine du genre YoutTube.com à la place de Youtube.com ou Amazzon.com à la place de Amazon.com…
Mais j’ignorai jusqu’à aujourd’hui l’existence du Bitsquatting. Cette technique permet aussi de squatter des noms de domaines, non pas sur une erreur de typo mais sur une erreur de bit.
Je m’explique… Parfois, il arrive que le hardware (votre ordinateur, votre routeur, votre serveur, votre téléphone) rencontre une petite erreur de bit dans l’utilisation du DNS, ce qui a pour effet de changer un seul et unique bit dans le domaine retourné. Par exemple, au lieu d’aller sur Microsoft.com, à cause de cette erreur provoquée par un défaut de fabrication du matos, ou une surchauffe ou des astroparticules, vous vous retrouverez sur microsmft.com ou encore eicrosoft.com.
Par exemple, si on convertit le nom de domaine CNN.com en bits, on obtient ceci :
01100011 | 01101110 | 01101110 | 0101110 | 01100011 | 01101111 | 01101101 |
c | n | n | . | c | o | m |
01100011 | 01101111 | 01101110 | 0101110 | 01100011 | 01101111 | 01101101 |
c | o | n | . | c | o | m |
Dingue non ?
Évidemment, la probabilité pour qu’une telle erreur arrive est minuscule mais sur les +10 milliards d’appareils connectés au net dans le monde, ça arrive forcement. Le bitsquatteur peut alors rediriger l’internaute vers un site spammy ou une bonne infection.
Artem Dinaburg, chercheur en sécurité a réalisé des stats sur le bitsquatting ainsi qu’une conf lors de la Defcon 19. (Vieux motard…)
D’ailleurs, pour ceux que ça intéresse, ses slides sont en ligne ici.