Bitsquatting - Comment ça marche ?

par Korben -

Je connaissais la pratique du typosquatting pour les noms de domaine du genre YoutTube.com à la place de Youtube.com ou Amazzon.com à la place de Amazon.com…

Mais j’ignorai jusqu’à aujourd’hui l’existence du Bitsquatting. Cette technique permet aussi de squatter des noms de domaines, non pas sur une erreur de typo mais sur une erreur de bit.

Je m’explique… Parfois, il arrive que le hardware (votre ordinateur, votre routeur, votre serveur, votre téléphone) rencontre une petite erreur de bit dans l’utilisation du DNS, ce qui a pour effet de changer un seul et unique bit dans le domaine retourné. Par exemple, au lieu d’aller sur Microsoft.com, à cause de cette erreur provoquée par un défaut de fabrication du matos, ou une surchauffe ou des astroparticules, vous vous retrouverez sur microsmft.com ou encore eicrosoft.com.

Par exemple, si on convertit le nom de domaine CNN.com en bits, on obtient ceci :

0110001101101110011011100101110011000110110111101101101
cnn.com
Maintenant en cas de corruption de la mémoire, il se peut que cette séquence de bits soit modifiée à un seul endroit, et devienne ceci :
0110001101101111011011100101110011000110110111101101101
con.com
Et vous voilà redirigé vers CON.com... (à ne pas confondre avec Mega.conz euh Mega.con.nz pardon)

Dingue non ?

Évidemment, la probabilité pour qu’une telle erreur arrive est minuscule mais sur les +10 milliards d’appareils connectés au net dans le monde, ça arrive forcement. Le bitsquatteur peut alors rediriger l’internaute vers un site spammy ou une bonne infection.

Artem Dinaburg, chercheur en sécurité a réalisé des stats sur le bitsquatting ainsi qu’une conf lors de la Defcon 19. (Vieux motard…)


D’ailleurs, pour ceux que ça intéresse, ses slides sont en ligne ici.

Source