Dans quelle mesure savez-vous faire la différence entre les noms de domaine que vous connaissez et auxquels vous faites confiance et les domaines imposteurs ou similaires ? La réponse peut dépendre de votre degré de familiarité avec les nuances de noms de domaine internationalisés (IDN), ainsi que le navigateur ou l’application Web que vous utilisez.
Par exemple, comment votre navigateur interprète-t-il le domaine suivant ? Je vais vous donner un indice : Malgré les apparences, c’est très certainement ne pas le domaine réel pour l’entreprise de logiciels CA Technologies (Auparavant Computer Associates International Inc.), qui possède le nom de domaine ca.com d’origine :
Allez-y et cliquez sur le lien ci-dessus ou copiez-le et collez-le dans la barre d’adresse du navigateur. Si vous utilisez Google Chrome, Safari d’Appleou une version récente de Microsoftc’est Internet Explorer ou Navigateurs périphériquesvous devriez remarquer que l’adresse se convertit en « xn--80a7a.com.” C’est ce qu’on appelle le « punycode » et il permet aux navigateurs de rendre des domaines avec des alphabets non latins comme le cyrillique et l’ukrainien.
Voici à quoi cela ressemble dans Edge sur Windows 10; Google Chrome le rend à peu près de la même manière. Remarquez ce qu’il y a dans la barre d’adresse (ignorez le texte « faux site » et « Bienvenue sur… », qui a été ajouté par courtoisie par la personne qui a enregistré ce domaine) :
Le domaine https://www.са.com/ tel qu’il est rendu par Microsoft Edge sur Windows 10. Le reste du texte de l’image (commençant par « Bienvenue sur un site… ») a été ajouté par la personne qui a enregistré ce domaine de test , pas le navigateur.
IE, Edge, Chrome et Safari convertiront tous https://www.са.com/ en sa sortie punycode (xn--80a7a.com), en partie pour avertir les visiteurs de toute confusion sur les domaines similaires enregistrés dans d’autres langues . Mais si vous chargez ce domaine dans MozillaFirefox et regardez la barre d’adresse, vous remarquerez qu’il n’y a aucun avertissement de danger possible à venir. Il semble juste qu’il charge le vrai ca.com :
À quoi ressemble le faux domaine ca.com lorsqu’il est chargé dans Mozilla Firefox. Un certificat de navigateur commandé à Comodo lui permet d’inclure le cadenas vert (https://) dans la barre d’adresse, ajoutant de la légitimité au domaine sosie. Le reste du texte de l’image (commençant par « Bienvenue sur un site… ») a été ajouté par la personne qui a enregistré ce domaine de test, et non par le navigateur. Cliquez pour agrandir.
Le domaine « xn--80a7a.com » illustré dans la première capture d’écran ci-dessus est un punycode pour les lettres ukrainiennes pour « s » (qui est représenté par le caractère « c » en russe et en ukrainien), ainsi qu’un « a » ukrainien identique. ”.
Il a été enregistré par Alex Holden, fondateur de Milwaukee, Wisconsin Hold Sécurité Inc. Holden a expérimenté la manière dont les différents navigateurs gèrent les punycodes dans le navigateur et par e-mail. Holden a grandi dans ce qui était alors l’Union soviétique et parle à la fois le russe et l’ukrainien, et il a joué avec les lettres cyrilliques pour épeler les mots anglais dans les noms de domaine.
Les lettres comme A et O se ressemblent exactement et la seule différence est leur Valeur Unicode. Il y a plus que 136 000 caractères Unicode utilisé pour représenter des lettres et des symboles dans 139 scripts modernes et historiques, il y a donc une tonne de place pour les domaines similaires ou malveillants/faux.
Par exemple, « a » en latin est la valeur Unicode « 0061 » et en cyrillique est « 0430 ». Pour un humain, la représentation graphique des deux semble la même, mais pour un ordinateur, il y a une énorme différence. Les noms de domaine internationalisés (IDN) permettent d’enregistrer des noms de domaine en lettres non latines (RFC 3492), à condition que le domaine soit dans la même langue ; essayer de mélanger deux IDN différents dans le même nom entraîne le rejet de la tentative d’enregistrement par les registres de domaine.
Ainsi, dans l’alphabet cyrillique (russe/ukrainien), on peut épeler АТТ, УАНОО, ХВОХ, etc. Comme vous pouvez l’imaginer, les opportunités potentielles d’usurpation d’identité et d’abus sont grandes avec les IDN. Voici un extrait d’un graphique plus large que Holden a mis en place, montrant certaines des façons les plus courantes de faire en sorte que les IDN ressemblent à des domaines établis et reconnaissables :
Image : Maintenez la sécurité.
Holden a également pu enregistrer un certificat de cryptage SSL valide pour https://www.са.com à partir de Comodo.comce qui ne ferait que renforcer la légitimité du domaine s’il devait être utilisé dans des attaques de phishing contre des clients CA par des personnes malveillantes, par exemple.
UNE SOLUTION À LA CONFUSION VISUELLE
Pour être clair, la menace potentielle mise en évidence par l’expérience de Holden n’est pas nouvelle. Les chercheurs en sécurité mettent en garde depuis longtemps contre l’utilisation de domaines similaires qui abusent des caractères spéciaux IDN/Unicode. La plupart des principaux fabricants de navigateurs ont réagi d’une manière ou d’une autre en faisant en sorte que leurs navigateurs avertissent les utilisateurs des sosies potentiels de punycode.
À l’exception de Mozilla, qui, selon la plupart des comptes, est le troisième navigateur Web le plus populaire. Et je voulais savoir pourquoi. je lirais le FAQ sur l’algorithme d’affichage IDN de Mozilla Wiki», j’avais donc une idée de ce que Mozilla voulait dire dans sa décision de ne pas avertir les utilisateurs de Firefox des domaines punycode : personne ne voulait que Mozilla ait l’air de traiter le monde non occidental comme des citoyens de seconde zone.
Je me suis demandé pourquoi Mozilla n’a pas seulement alerté les utilisateurs de Firefox sur les domaines punycode à moins que l’utilisateur n’ait déjà spécifié qu’il souhaitait installer un clavier en langue non anglaise. J’ai donc posé cela dans certaines questions que j’ai envoyées à leur équipe média. Ils ont envoyé la courte déclaration suivante en réponse :
« Les attaques par confusion visuelle ne sont pas nouvelles et sont difficiles à résoudre tout en garantissant que nous restituons correctement le nom de domaine de chacun. Nous avons résolu presque tous les problèmes d’usurpation d’IDN en mettant en place des restrictions de mélange de scripts, et nous utilisons également la technologie de navigation sécurisée pour nous protéger contre les attaques de phishing. Alors que nous continuons à rechercher de meilleures façons de protéger nos utilisateurs, nous pensons finalement que les registres de noms de domaine sont les mieux placés pour résoudre ce problème car ils disposent de toutes les informations nécessaires pour identifier ces attaques d’usurpation d’identité potentielles.
Si vous êtes un utilisateur de Firefox et souhaitez que Firefox affiche toujours les IDN comme leur équivalent punycode lorsqu’ils sont affichés dans la barre d’adresse du navigateur, tapez « about: config » sans les guillemets dans une barre d’adresse Firefox. Ensuite, dans la zone « recherche : », tapez « punycode » et vous devriez y voir une ou deux options. Celui que vous voulez s’appelle « network.IDN_show_punycode ». Par défaut, il est défini sur « false » ; un double-clic sur cette entrée devrait changer ce paramètre en « vrai ».
Incidemment, toute personne utilisant le Navigateur Tor pour anonymiser leur navigation en ligne est exposé à l’usurpation d’IDN car Tor utilise également Mozilla par défaut. Je pouvais certainement voir des IDN usurpés être utilisés pour cibler des attaques de phishing visant les utilisateurs de Tor, dont beaucoup ont des actifs importants liés à des monnaies virtuelles. Heureusement, les mêmes instructions « about: config » fonctionnent aussi bien sur Tor pour afficher le punycode à la place des IDN.
Holden a déclaré qu’il était toujours en train de tester la façon dont divers clients de messagerie et services Web gèrent les IDN similaires. Par exemple, il est clair que Twitter ne voit rien de mal à envoyer le domaine CA.com similaire dans des messages à d’autres utilisateurs sans aucun contexte ni préavis. Skyped’autre part, semble tronquer le lien IDN, envoyant les cliqueurs vers une page inexistante.
« Je dirais que la plupart des services de messagerie et des clients sont vulnérables ou ne sont pas entièrement protégés », a déclaré Holden.
Pour savoir comment les hameçonneurs ou autres escrocs peuvent utiliser les IDN pour abuser de votre nom de domaine, consultez ce vérificateur de domaine développé par Hold Security. Voici la première page de résultats pour breachtrace.com, qui indique qu’à un moment donné quelqu’un s’est enregistré breachtrace[dot]com (ce domaine comprend un « n » minuscule avec un petit point en dessous, un caractère utilisé par plusieurs dizaines de scripts). Les résultats en jaune ne sont que des domaines possibles (non enregistrés) basés sur des caractères IDN similaires communs.
La première page d’avertissements pour breachtrace.com de l’outil de scanner IDN de Hold Security.
J’ai écrit ce message principalement parce que je voulais en savoir plus sur la menace potentielle de phishing et de logiciels malveillants provenant de domaines similaires, et j’espère que les informations ici ont été intéressantes, voire utiles. Je ne pense pas que ce type de phishing soit une menace terriblement pressante (surtout compte tenu du fait que les attaques de phishing moins complexes semblent bien réussir pour le moment). Mais cela ne peut certainement pas nuire aux utilisateurs de Firefox de modifier le comportement par défaut de « confusion visuelle » du navigateur afin qu’il affiche toujours le punycode dans la barre d’adresse (voir la solution mentionnée ci-dessus).
[Author’s note: I am listed as an adviser to Hold Security on the company’s Web site. However this is not a role for which I have been compensated in any way now or in the past.]