Mobile Menu

Phishing sur Chrome et Firefox : des domaines identiques aux sites sécurisés connus

18 / 04 / 2017
Sécurité & réseau, Veille

Phishing sur Chrome et Firefox

Cet article est une traduction de Chrome and Firefox Phishing Attack Uses Domains Identical to Known Safe Sites, publié le 14 avril 2017 par Mark Maunder (WordFence).

Ceci est un message d’intérêt public de WordFence concernant la sécurité des utilisateurs des navigateurs Chrome et Firefox :

Une attaque de phishing est au centre de l’attention aujourd’hui dans la communauté de la sécurité web.

Pour rappel : Une attaque de phishing consiste à vous envoyer un mail contenant un lien vers un site malveillant. Vous cliquez sur le lien car il vous semble fiable. Une simple visite sur le site peut infecter votre ordinateur, ou bien vous pouvez être trompé et tenter de vous connecter au site malveillant avec les identifiants d’un site de confiance sur lequel vous pensez être.

Cette variante d’attaque de phishing utilise Unicode pour enregistrer des noms de domaine d’apparence identique aux domaines réels. Ces faux noms de domaines peuvent être utilisés pour tromper les utilisateurs et les inciter à se connecter à un faux site, transmettant ainsi leurs identifiants de connexion à un pirate.

Cette faille est présente sur les versions actuelles des navigateurs Chrome (57.0.2987) et Firefox (52.0.2). Elle n’affecte pas les navigateurs Internet Explorer, Edge et Safari.

Nous avons créé notre propre exemple pour monter comment un pirate peut enregistrer son propre domaine, qui paraîtra identique au domaine d’une autre société dans le navigateur. Nous avons décidé d’imiter un site de soins de santé appelé « epic.com » en enregistrant notre propre faux site. Vous pouvez visiter notre site de démonstration ici sur Chrome ou Firefox. Pour comparer, cliquez ici pour visiter le vrai epic.com.

Voici à quoi ressemble le vrai epic.com sur Chrome :

Vrai epic.com sur Chrome

Et voici le faux epic.com sur Chrome :

Faux epic.com sur Chrome

Le vrai epic.com sur Firefox :

Vrai epic.com sur Firefox

Et le faux epic.com sur Firefox :

Faux epic.com sur Firefox

Comme vous pouvez le voir, ces deux domaines s’affichent exactement de la même façon dans la barre d’adresse du navigateur, mais il s’agit bien de deux sites complètement différents. Nous avons enregistré l’un des deux aujourd’hui. Notre domaine epic.com est en fait le domaine https://xn--e1awd7f.com mais il apparaît dans Chrome et Firefox comme epic.com.

Le véritable epic.com est un site de soins de santé. En utilisant notre domaine Unicode, nous pouvons cloner le vrai site epic.com puis commencer à envoyer des e-mails aux gens pour les inciter à se connecter sur notre faux site de soins de santé qui nous transmettrait en fait leurs identifiants de connexion ou d’autres données sensibles.

Nous avons même réussi à obtenir un certificat SSL pour notre domaine de démonstration grâce à Let’s Encrypt. Obtenir le certificat SSL est gratuit et nous a pris 5 minutes. Nous avons ainsi pu afficher le mot « Sécurisé » à côté de notre nom de domaine sur Chrome, et un petit symbole de cadenas vert sur Firefox.

Comment est-ce possible ?

Le préfixe xn-- est ce qu’on appelle un préfixe « ASCII compatible encoding ». Il indique au navigateur que le nom de domaine utilise l’encodage « punycode » pour représenter les caractères Unicode. En des termes moins techniques, cela signifie que si vous avez un nom de domaine avec des caractères chinois ou internationaux, vous pouvez enregistrer un nom de domaine avec des caractères A-Z normaux qui peuvent permettre à un navigateur de représenter ce domaine sous forme de caractères internationaux dans la barre d’adresse.

Ce que nous avons fait plus haut est d’utiliser les caractères Unicode « e », « p », « i » et « c » qui semblent identiques aux vrais caractères mais qui sont des caractères Unicode différents. Dans la version actuelle de Chrome, tant que tous les caractères sont Unicode, le domaine apparaîtra sous sa forme internationalisée.

Comment corriger cela sur Firefox ?

Dans la barre d’adresse de Firefox, tapez « about:config » sans les guillemets.

Recherchez « punycode » sans les guillemets.

Vous devriez trouver ce paramètre : network.IDN_show_punycode

Changez la valeur de false à true.

Maintenant, si vous essayez d’accéder à notre site de démonstration, vous devriez voir ceci :

Faux epic.com sur Firefox après fix

Puis-je corriger cela si j’utilise Chrome ?

Actuellement, nous ne connaissons aucune possibilité de correction manuelle sur Chrome pour ce problème. Cependant, Chrome a déjà mis en place une solution dans sa version de test « Canary ». Une mise à jour devrait donc être diffusée au grand public dans les prochains jours.

En attendant, si vous avez des doutes sur l’authenticité d’un site et que vous êtes sur le point d’entrer des informations sensibles, vous pouvez copier l’URL dans la barre d’adresse et la coller dans un éditeur de texte (Bloc-notes, TextEdit…). Elle apparaîtra sous la forme https://xn--… s’il s’agit d’un faux domaine. Sinon, le vrai domaine apparaîtra dans sa forme non encodée s’il s’agit bien du vrai site.

Faites passer le mot

Le concept d’attaque homographique IDN existe depuis 2001, les chercheurs israéliens Evgeniy Gabrilovich et Alex Gontmakher sont les premiers à avoir écrit sur ce sujet.

Les navigateurs web ont tenté différentes corrections mais les implémentations actuelles sur Chrome et Firefox sont clairement insuffisantes. Pour la défense de Chrome, un correctif est sur le point d’être déployé. Pour Firefox, il existe heureusement une correction manuelle.

Nous aimerions vous encourager à diffuser cette information. Ce nouveau tournant du phishing attire beaucoup l’attention aujourd’hui, vendredi 14 avril, et fait actuellement le tour de la communauté de la sécurité web. Xudong Zheng a écrit sur le sujet plus tôt dans la journée et on en parle aussi sur le subreddit « netsec ».

Nous pensons qu’il y a de fortes chances que cela puisse être exploité lors d’attaques de phishing avant que la version corrigée de Chrome ne soit diffusée au grand public, c’est pourquoi nous publions ce message d’intérêt public.

Cet article est une traduction de Chrome and Firefox Phishing Attack Uses Domains Identical to Known Safe Sites, publié le 14 avril 2017 par Mark Maunder (WordFence).

Source image : Pixabay