Naviguer sur internet peut parfois s’avérer risqué. Récemment, nous avons abordé la question des courriels frauduleux incitant les utilisateurs à souscrire à de faux services VPN, une escroquerie qui met en péril vos finances et vos données personnelles. Heureusement, pour les personnes vigilantes, il existe des méthodes pour identifier ce type d’arnaque. Toutefois, toutes les tentatives d’escroquerie ne sont pas aussi évidentes. Les techniques de hameçonnage, par exemple, ont gagné en sophistication, notamment grâce à l’utilisation des Punycodes. Il s’agit d’une approche novatrice pour l’enregistrement de noms de domaine qui, bien qu’elle n’ait pas été conçue dans un but malveillant, est exploitée à des fins d’escroquerie. Voici un éclairage sur le fonctionnement de l’attaque par hameçonnage Punycode et des recommandations pour vous en protéger.
Les attaques par hameçonnage
Une attaque de type hameçonnage se produit lorsque des individus malintentionnés créent un site internet frauduleux, en le concevant de manière à ce qu’il ressemble à s’y méprendre à un site web de confiance. Par exemple, un escroc peut imiter à la perfection la page de connexion de Google ou de Facebook. Si vous ne prêtez pas attention à l’URL que vous avez saisie ou vers laquelle vous avez été redirigé, vous pourriez penser vous trouver sur le véritable site. En renseignant vos identifiants, vous risquez de vous les faire dérober.
De nos jours, l’environnement internet est relativement sécurisé, et les navigateurs web intègrent des outils de sécurité performants. Si vous accédez à un site internet suspect, votre navigateur vous avertira du caractère potentiellement frauduleux du site. Les attaques par hameçonnage sont devenues un phénomène bien connu, de sorte que la plupart des internautes sont conscients de la nécessité de rester prudents.
Les domaines Punycode
L’enregistrement de domaines Punycode permet d’utiliser des caractères étrangers, c’est-à-dire non anglophones, dans le nom de domaine. Ce concept n’est pas foncièrement négatif. Il est possible de convertir un caractère issu d’une langue étrangère en caractères ASCII au moyen du Punycode. Ainsi, si une personne en Chine souhaite enregistrer un domaine utile spécifiquement pour les utilisateurs chinois, il est préférable d’utiliser un nom de domaine en chinois, ce qui facilite sa mémorisation.
Les attaques de hameçonnage utilisant le Punycode
Le Punycode transforme les noms de domaine en langues étrangères, ou ceux utilisant des caractères non occidentaux, en caractères ASCII. Malheureusement, cette conversion utilise un sous-ensemble de caractères ASCII, qui ne se distingue pas des caractères anglais courants.
Par exemple, le site internet créé par Xudong Zheng pour illustrer une attaque de hameçonnage Punycode donne l’illusion que vous êtes sur le site d’Apple, car l’URL affichée est « apple.com ». Ce que vous ne voyez pas, c’est que l’URL réelle est « www.xn--80ak6aa92e.com ».
Xudong Zheng a été le premier à démontrer comment cette méthode peut être exploitée pour mener des attaques de hameçonnage, en expliquant comment les domaines utilisant des caractères étrangers peuvent être utilisés pour imiter l’URL de sites web célèbres.
Qui est concerné?
Les navigateurs suivants sont particulièrement exposés :
Chrome 57 et versions antérieures
Firefox
Internet Explorer, notamment si des modules linguistiques additionnels sont installés, par exemple ceux pour le russe
Opera
Qui est protégé?
Les utilisateurs des navigateurs suivants semblent être à l’abri :
Microsoft Edge
Safari
Internet Explorer, uniquement si la langue anglaise est la seule installée sur votre système
Comment se protéger?
Comme vous le constatez, deux navigateurs très populaires figurent parmi les navigateurs vulnérables : Chrome et Firefox, ainsi qu’Opera.
Bonne nouvelle pour les utilisateurs de Chrome : il suffit de mettre à jour le navigateur vers la version 58 pour être protégé, car les versions 57 et antérieures présentent cette faille de sécurité.
La version 58 intègre un correctif et est disponible via le canal stable.
Les utilisateurs de Firefox ont une option à modifier dans la configuration. Ouvrez Firefox et accédez à la page « about:config ». Cherchez la préférence suivante et double-cliquez dessus pour la mettre sur « True » :
network.IDN_show_punycode
Pour Opera, il n’existe pas encore de solution. Si vous connaissez une extension permettant de résoudre ce problème dans Opera, n’hésitez pas à nous en informer dans les commentaires, et nous l’ajouterons.
Utiliser un gestionnaire de mots de passe
Xudong Zheng recommande l’utilisation d’un gestionnaire de mots de passe pour renforcer votre sécurité. Ces outils détectent automatiquement le domaine sur lequel vous vous trouvez et proposent de remplir vos informations de connexion. Votre navigateur peut être trompé par l’apparence du domaine, mais ce n’est pas le cas du gestionnaire de mots de passe. S’il ne propose pas de renseigner vos identifiants, cela signifie qu’il y a de fortes chances que vous ne soyez pas sur le bon site.