Chrome et firefox sont actuellement victime d’une attaque phishing utilisant des noms de domaines connus et protégés par SSL !
Une attaque phishing qui n’a pas forcément de solution
Des hackers sont actuellement en train d’exploiter une faille présente dans les navigateurs Chrome et Firefox. Pour rappel, une attaque phishing est par exemple quand un attaquant envoie un mail contenant un lien vers un site Web malveillant. Vous cliquez sur le lien, car il semble être de confiance. Le simple fait de visiter le site Web peut infecter votre ordinateur. Vous pouvez également être duper en vous connectant sur le site malveillant simplement parce que vous avez confiance. L’attaquant a alors accès à votre nom d’ utilisateur, mot de passe et d’autres informations sensibles qu’ils peuvent vous inciter à fournir.
Cette nouvelle variante d’attaque phishing utilise les caractères unicode pour enregistrer des domaines qui semblent identiques à des domaines réels. Ces faux domaines peuvent ensuite être utilisés pour des attaques de phishing et pour tromper les victimes. Cela affecte la version actuelle du navigateur Chrome, qui est une version 57.0.2987 et la version actuelle de Firefox, qui est la version 52.0.2. Cela n’affecte pas les navigateurs Internet Explorer ou Safari.
Un exemple concret pour mieux comprendre
Pour vous aider à comprendre à quel point ce genre d’attaque est dangereuse, voici un exemple avec le site epic.com.
Prenons d’abord, le véritable lien du nom de domaine. Ensuite, prenons cette adresse. Il s’agit d’un nom de domaine piégé. Pas de craintes à avoir, il ne s’agit que d’un exemple, spécialement conçu pour illustrer l’attaque phishing. Vous ne risquez absolument rien.
Sous Chrome, comme sous firefox, vous voyez une barre d’adresse qui ressemble quelque peu à ça (y compris sur le site piégé)
Comment est-ce possible ? Le site piégé, dont le lien apparaît comme étant le site epic.com est en réalité enregistré avec des caractères unicode. son véritable lien est https://xn--e1awd7f.com. Le préfixe xn-- est ce qu’on appelle un préfixe d’encodage compatible ASCII. Il permet au navigateur de savoir que le domaine utilise le codage « punycode » pour représenter les caractères unicode. Pour faire simple, cela permet au navigateur d’interpreter des caractères spéciaux, tel que l’alphabet chinois, dans un langage dit international. Pour une oeil humain, il n’y a pas de différence, mais pour les navigateurs il s’agit pourtant de 2 caractères distincts. Comme je vous disais il y a quelques jours, « sécurisé » ne veut absolument pas dire sans risque. En voici donc un exemple concret.
Comment résoudre ce problème et éviter les attaques phishing ?
Actuellement, il n’y a pas de solution avec Chrome. il faut donc attendre que Google corrige le problème avec une mise à jour. Pour firefox, c’est différent. Il existe une solution consistant à faire afficher les véritables caractères. Pour cela, il faut se rendre dans about: config, rechercher punycode, et passer la variable network.IDN_show_punycode de false à true.
En retournant sur le lien piégé, vous pouvez désormais voir la véritable adresse.
Google a maintenant corrigé ce problème en publiant une mise à jour.
Pour le vérifier, il suffit de vous rendre dans le menu Aide => A propos de Chrome pour vérifier que vous avez une version dont le numéro de version est supérieure à 57.0.2987.XXX
et en cliquant sur le lien piégé de cet article, vous devriez voir la véritable adresse s’afficher dans votre navigateur.