Une attaque de phishing réussie repose sur la ruse pour inciter les victimes à divulguer des informations personnelles ou à cliquer sur un lien malveillant. Ces attaques gagnent en complexité au fil des ans. Si les e-mails frauduleux avec un faux logo d'entreprise restent efficaces, les escrocs innovent constamment pour perfectionner leurs arnaques.
La dernière astuce des cybercriminels est l'usurpation d'URL : une adresse web falsifiée qui imite une URL légitime. Comment les escrocs rendent-ils leurs URL si ressemblantes ? Et comment s'en protéger ? Découvrons cela ensemble.
Pour comprendre l'usurpation d'URL, il faut connaître les bases des noms de domaine.
Jusqu'en 2009, les URL ne comportaient que des lettres latines de A à Z, sans accents ni symboles spéciaux. L'Internet Corporation for Assigned Names and Numbers (ICANN), organisation à but non lucratif gérant les bases de données essentielles à Internet, a changé cela. Les utilisateurs peuvent désormais enregistrer des URL avec divers alphabets : grec, cyrillique, chinois, ou lettres latines accentuées.
Ce changement répond à l'évolution d'Internet. De 2009 à 2017, les internautes en Amérique du Nord sont passés de 259 à 320 millions (+23 %), tandis qu'en Asie, ils ont bondi de 790 millions à 1,938 milliard (+145 %).
Avec la saturation des marchés nord-américain et européen, les nouvelles connexions viennent d'ailleurs, influençant les langues et alphabets d'Internet.
L'ajout de nouveaux scripts a ouvert une brèche aux escrocs. Appelée attaque homographique, elle consiste à enregistrer des URL avec des caractères non latins visuellement identiques aux originaux.
Exemple avec makeuseof.com : l'URL légitime utilise des caractères latins standards. Mais des substitutions subtiles sont possibles avec des caractères exotiques. Le "a" latin (U+0041) est remplacé par le "а" cyrillique (U+0430), et le "o" latin (U+006F) par l'Omicron grec minuscule (U+03BF). Difficile de voir la différence, n'est-ce pas ? C'est là la force de l'usurpation.
Associée à un certificat HTTPS volé, cette fausse URL peut imiter parfaitement un site de confiance. (Est-ce bien le vrai site que vous lisez ?)
makeuseof.com est idéal car il contient deux caractères homographiques. Les escrocs utilisent aussi accents, glyphes ou diacritiques. L'exemple ci-dessus montre des substitutions évidentes ; dans Chrome, cela ressemble à ceci :
Évident ici, mais en lien e-mail ou barre de navigateur, les différences subtiles passent inaperçues.
Pas de panique : les navigateurs modernes contrent cela. Chrome, Safari, Opera et Edge affichent les URL suspectes en Punycode.
Exemple du site de Brian Krebs : une fausse ca.com devient xn--80a7a.com. Le Punycode encode en ASCII basique (a-z, A-Z, 0-9, tirets – règle LDH).
Testez votre domaine avec le vérificateur de Hold Security : entrez-le avec son TLD (.com, .org). Pour makeuseof.com, 186 variantes possibles existent !
Les attaques homographiques ne sont pas nouvelles, mais plus sophistiquées. Elles rappellent le typosquatting : enregistrement de domaines mal orthographiés (ex. : Amozon, Facebok) pour piéger les fautes de frappe.
Ces sites hébergent souvent du malware ou de faux logins. Restez vigilant, même si certains redirigent vers le vrai site.
Détecter une URL falsifiée est ardu, surtout avec HTTPS. Heureusement, les navigateurs aident via Punycode. Voici des conseils pratiques :
L'éducation reste la meilleure défense. En repérant les menaces courantes, vous naviguez beaucoup plus sûrement.
[]