Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Comment se protéger contre les attaques de phishing qui utilisent des noms de domaine dans d’autres alphabets

Le chercheur en sécurité Xudong Zheng a publié un article très intéressant sur les noms de domaine forgés en punycode avec des caractères exotiques, ce qui permet de régler le problème de l’internationalisation des noms de domaine dans d’autres alphabets.

Ça part d’un bon sentiment, mais comme toujours, il y a quelques faiblesses dans le truc. En effet, niveau sécurité c’est problématique, car certains caractères ASCII sont difficiles à discerner d’autres caractères plus courants. Par exemple, si vous enregistrez le nom de domaine « xn--pple-43d.com », celui-ci s’affichera dans votre navigateur comme ceci : « аpple.com ». Ça ne se voit pas au premier coup d’oeil, mais ce que vous pensez être le « a » d’Apple (en ASCII  : U+0061) est en fait le caractère cyrillique « а » (Code ASCII : U+0430).

 

Cette technique dont j’ai déjà parlée sur ce site, utilisée principalement dans des attaques de type phishing est connue sous le nom d’attaque homographique.

Heureusement, les navigateurs récents limitent ces attaques lorsqu’ils détectent des mélanges entre des caractères classiques et des caractères internationaux. Mais que ce soit Chrome, Firefox ou Opera, tous échouent lorsque l’intégralité du nom de domaine contient uniquement des caractères ASCII internationaux. Par exemple le nom de domaine « аpple.com » qui en réalité est enregistré sous le nom « xn--80ak6aa92e.com » arrive à contourner la protection en utilisant uniquement des caractères cyrilliques.

Vous pouvez faire le test vous-même via cette URL.

Chrome a corrigé le problème dans sa version 58, mais Firefox n’a pas encore trouvé de solution satisfaisante. En attendant si vous ne voulez pas tomber dans le panneau d’un phishing homographique et que vous utilisez Firefox, voici la manip à faire en attendant un correctif.

Entrez dans le champ d’URL :

about:config

Puis cherchez la clé :

network.IDN_show_punycode

Et mettez là à TRUE.

Ainsi, les noms de domaines exotiques s’afficheront au format punycode, ce qui vous évitera de tomber dans le panneau.

Autrement, en cas de doute, ce que vous pouvez faire c’est de retaper vous-même l’URL.


Crucial SSD MX500

Démarrez votre ordinateur en quelques secondes

À chaque démarrage, vous sollicitez le disque de stockage de votre ordinateur. En plus de contenir tous vos fichiers les plus précieux, il charge et enregistre pratiquement tout ce que fait votre ordinateur. Vous aussi, faites partie des personnes qui conservent leurs vidéos de famille, leurs photos de voyage, leur musique et leurs documents importants sur un SSD, et bénéficiez de performances quasi-instantanées et de la fiabilité de ce support de stockage. Faites une mise à niveau avec le SSD Crucial® MX500, un lecteur sûr, rapide et de qualité accompagné d’un service clients et d’un support de qualité. Ça en vaut la peine.

Et avec le code KORBENFREE la livraison sera offerte (gain de 3.5€ allant à 5.99€ en fonction du mode livraison choisi)

Pour découvrir le SSD et accéder à la promo c'est ici



Réponses notables

  1. En quoi afficher le punycode n’est pas satisfaisant sous Firefox ? Les caractères accentués dans les ndd sont une hérésie avec le squattage et le phishing, on le savait avant même que ce ce soit mis en place.
    Qu’est-ce qui a été mis en place sur Chrome/ium vu qu’ils continuent de décoder le punycode ?

  2. fofo says:

    [quote=“bugmenot, post:2, topic:5838, full:true”]En quoi afficher le punycode n’est pas satisfaisant sous Firefox ? Les caractères accentués dans les ndd sont une hérésie avec le squattage et le phishing, on le savait avant même que ce ce soit mis en place.
    Qu’est-ce qui a été mis en place sur Chrome/ium vu qu’ils continuent de décoder le punycode ?
    [/quote]Si ta société s’appelle Duçon ça a un peu de sens quand même :slight_smile:
    Pourquoi imposer l’alphabet latin à un Chinois, un Russe ou un Arabe ? Tout le monde ne parle pas anglais et/ou est à l’aise avec l’alphabet “latin”.

    Il y’a des rangées unicode, il suffirait simplement d’afficher un warning quand un lien mélange les alphabets.

  3. fofo says:

    Merci j’avais pas compris cette subtilité, c’est un peu con pour le coup un peu comme le point d’interrogation grec “;” quasi identique au point virgule latin “;”

  4. Bonjour,
    Un mélange de caractères ça c’est intéressant comme étude. Et dire que le monde subit de nos jours des attaques d’ampleur, du phishing, du ransomware, des intrusions et failles de scurité. Le cerveau humain est vraiment une machine à production qui dépasse par moment la vitesse de la lumière !! :sweat_smile:

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants