Giganews Newsgroup



J'aime J'aime:  0
Merci Merci:  0
N'aime pas N'aime pas:  0
Approuve Approuve:  0
Désapprouve Désapprouve:  0
J'ai validé J'ai validé:  0
Affichage des résultats 1 à 6 sur 6
  1. #1
    Membre VIP + Avatar de Dider
    Inscription
    octobre 2015
    Localisation
    France (Dept 60)
    Messages
    304

    Ne vous faites pas piéger par ce phishing presque impossible à détecter.

    Bonjour,

    Un chercheur en sécurité a forgé une fausse adresse « apple.com » en utilisant des caractères cyrilliques. Un type d’attaque loin d’être nouveau, mais toujours aussi redoutable.

    -7bcb5743b6981e803a0cf75f36.jpg

    Ce qui apparaît sécurisé ne l’est pas forcément. Si vous utilisez Chrome, Firefox ou Opera et que vous cliquez sur ce lien (vous pouvez y aller, c’est juste un test), vous arrivez sur le site « www.apple.com ». Tout semble normal. La connexion est en HTTPS et on voit bien le petit cadenas vert qui nous informe sur la présence d’un certificat de sécurité en bonne et due forme. Et pourtant, il s’agit d’un faux site, créé par le chercheur en sécurité Xudong Zheng. Ce qui ouvre la porte à de multiples arnaques par phishing. Comment est-ce possible ?

    -f081d8005648d33749286a1a3599f.jpg

    En réalité, cette tactique n’est pas nouvelle. Baptisée « attaque homographique », elle s’appuie sur les noms de domaine internationalisés que l’ICANN a introduit en 2003 et qui permettent de créer des URLs avec des caractères autres que latins. Dans le cas présent, le chercheur a utilisé des caractères cyrilliques qui, étant donné la police de caractères utilisée dans la barre d’adresse, ressemble à s’y méprendre à « www.apple.com ».

    Le seul moyen d’en avoir le cœur net est de vérifier le certificat. Dans Chrome, il faut aller dans « Plus d’outils -> Outils de développement » et cliquer sur l’onglet « Security », puis sur le bouton « View certificate ». On voit alors que la véritable URL est « www.xn--80ak6aa92e.com ». Rien à voir avec Apple.

    -daef53c181e5920ed9be0f52135f2.jpg

    Les attaques homographiques sont apparues pour la première fois en 2005, générant une alerte de la part de l’ICANN. Mais depuis, aucune véritable solution n’a été trouvée à ce problème. Comme le relève The Register, le sujet a bien été posté dans un fil de discussion de l’ICANN, mais il est loin d’avoir passionné les foules. Régulièrement, des attaques homographiques font donc leur apparition. En 2011, des spammeurs ont ainsi usurpé l’identité du site « paypal.com » en utilisant là encore des caractères cyrilliques.

    Une rustine de plus à mettre en place

    Les éditeurs de navigateurs tentent de lutter contre ce problème à coup d’algorithmes de filtrage et/ou de listes blanches. Chrome et Firefox, par exemple, disposent chacun d’un algorithme qui leur permet de décider quand il faut afficher l’URL en format natif ou en caractères latins. Typiquement, quand l’URL mélange des caractères de différentes origines, elle n’est pas considérée comme digne de confiance et c’est donc la version latine qui est montrée. Mais visiblement, les adresses totalement en cyrillique, comme celle forgée par Xudong Zheng, ne posaient pas de problème jusqu’à présent. Les trois éditeurs concernés seront donc contraints de mettre à jour leurs dispositifs de sécurité. Google va apporter un correctif dans la version 58, qui devrait arriver d’ici fin avril. Un patch est également en préparation chez Mozilla, mais aucune date n’a été annoncée.
    Entretemps, un bon moyen pour ne pas se faire avoir est de désactiver l’affichage natif des noms de domaine internationalisés. Sur Firefox, il faut aller sur la page « about:config » et mettre la variable « network.IDN_show_punycode » à « true ». L’utilisation d’un gestionnaire de mots de passe est également vivement recommandé car ce dernier, c’est certain, ne tombera pas dans le panneau et ne fournira donc pas les identifiants.

    Merci à 01net.

  2. # ADS
    Circuit publicitaire
    Inscription
    Toujours
    Localisation
    Monde des annonces
    Messages
    Plusieurs




     

  3. #2
    Modérateur & Membre VIP Avatar de Wullfk
    Inscription
    janvier 2016
    Localisation
    France
    Messages
    1 659

    Il y a une parade

    Hameçonnage (Phishing) via IDN Punycode

    Punycode est un système utilisé par nos navigateurs pour utiliser des noms de domaines internationalisés (IDN):
    https://fr.wikipedia.org/wiki/Punycode

    Et ce afin d'utiliser et d'afficher des URLs avec charactères non ASCII: cyrillique, grec, chinois, etc, ou encore lettres accentuées.
    Les noms de domaine internationalisés sont convertis dans un nom de domaine ASCII commençant par xn--.

    Seulement voilà, des petits malins ont compris qu'ils pouvaient détourner cet avantage à leur profit en vous faisant croire que vous êtes sur un site légitime et de confiance alors que vous êtes sur un autre. C'est la technique du hameçonnage ou phishing en anglais.

    Car la plupart des navigateurs afficheront par défaut l'URL "reconstituée" à partir du punycode, ce qui peut être détourné, par exemple:
    https://www.xn--e1awd7f.com vous fera croire que vous êtes sur https://www.epic.com

    Parade pour afficher l'URL réelle, mais "moche", dans Firefox et ses clones:
    Taper dans about:config dans la barre d'adresse
    Oui, oui, je vais faire attention
    Taper "puny", sans les guillemets, dans la barre Rechercher
    Faire un double click sur network.IDN_show_punycode afin de modifier sa valeur en "true"
    C'est fait, fermer la fenêtre about:config

    Pour Chrome et ses clones il semble qu'il n'existe pas de parade manuelle pour l'instant. Solutions possibles:
    Utiliser l'extension Punycode Alert : https://chrome.google.com/webstore/d...kjmhbhhjeomlda
    Source : Lotesdelere sur Gratilog.net

    [edit] Oups !! à vouloir lire trop vite, j'ai pas fait attention qu'il y avait déjà la parade d'indiqué
    Dernière modification par Wullfk ; 20/04/2017 à 16h40.
    "L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde
    Mes Blogs : EasyPC blog free.fr - Easy-PC.org

  4. #3
    VIP Honneur Avatar de azazel2k13
    Inscription
    octobre 2015
    Localisation
    Belgique (Waremme)
    Messages
    496
    Hello Dider et Wullfk , merci pour cet info , et les parades.
    Je suis le meilleur quand les autres ne sont pas là!!

  5. #4
    Administrateur Avatar de Morpheus2007
    Inscription
    mars 2017
    Localisation
    Gabon, Port-Gentil
    Messages
    855
    Bonjour,

    Wullfk, tu te précipite trop vite, attention au ravin , la chute n'est pas loin.
    Ou alors tu commence à devenir un peu vieux avant l'age et tu a besoin de lunettes.
    Ah les vieux quand l'age te rattrape, tu t'en aperçoit très vite.

    Cdlt
    Bernard
    Le savoir n'est bénéfique que s'il est partagé, nul n'est prophète en son domaine. A méditer!!!

    Si vous aimez nos publications ? Un "J'aime" ou "Merci" dans la ShoutBox pour nous remercier. Ce sera pour nous un grand plaisir.

  6. #5
    Modérateur & Membre VIP Avatar de Wullfk
    Inscription
    janvier 2016
    Localisation
    France
    Messages
    1 659
    tu as tout à fait raison Morpheus, je veux aller plus vite que la musique, c'est mon tempérament impulsif bon ou mauvais.

    Quand au lunette, ça fait pas mal d'année que j'en porte
    "L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde
    Mes Blogs : EasyPC blog free.fr - Easy-PC.org

  7. #6
    VIP Honneur Avatar de azazel2k13
    Inscription
    octobre 2015
    Localisation
    Belgique (Waremme)
    Messages
    496
    Usenet.net Newsgroup
    Citation Envoyé par Morpheus2007 Voir le message
    Bonjour,

    Wullfk, tu te précipite trop vite, attention au ravin , la chute n'est pas loin.
    Ou alors tu commence à devenir un peu vieux avant l'age et tu a besoin de lunettes.
    Ah les vieux quand l'age te rattrape, tu t'en aperçoit très vite.

    Cdlt
    Bernard
    Hello Bernard (LOL)
    Je suis le meilleur quand les autres ne sont pas là!!

Discussions similaires

  1. Réponses: 3
    Dernier message: 02/07/2017, 09h43
  2. Non, vous n'êtes pas forcé de passer à Windows 10
    Par Chtimi054 dans le forum News de la toile
    Réponses: 1
    Dernier message: 07/06/2016, 23h08
  3. Mise à jour Flash Player : ce n'est pas ce que vous croyez
    Par pboulanger dans le forum News de la toile
    Réponses: 0
    Dernier message: 21/01/2016, 17h04
  4. Vous l'attendiez (ou pas)
    Par Chtimi054 dans le forum Discussion Web 2.0
    Réponses: 0
    Dernier message: 18/01/2016, 07h59
  5. Réponses: 0
    Dernier message: 28/10/2015, 15h29

Les tags pour cette discussion

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •  
Ce site utilise des cookies
Nous utilisons des cookies pour stocker les informations de votre session afin de faciliter le rappel de vos informations de connexion et de vous permettre d'enregistrer vos préférences afin de personnaliser le contenu, les publicités et de nous fournir des fonctionnalités nous permettant d'analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec notre partenaire de régie publicitaire afin qu'il puisse afficher du contenu qui pourrait être susceptible de vous intéresser. Vous pouvez désactiver certains cookies en modifiant les détails.