Phishing : escamoter l’URL pour s’en protéger

Chrome Canary, version expérimentale du navigateur Chrome de Google a annoncé il y a quelques heures avoir opéré une modification technique pour lutter contre le phishing. C’est l’occasion pour JurisGeek de vous parler un peu du phishing et du perfectionnement dangereux de cette technique ces derniers mois.

Il est une technique de vol de données sensibles (qui mène souvent à un vol de patrimoine in fine) qui se perfectionne de jour en jour : le phishing.

Le phishing (ou hameçonnage pour les talibans de langue de Molière) est une technique consistant en la prise de contact avec une personne X (la victime) en se présentant comme un tiers de confiance et en demandant à X des informations confidentielles (mot de passe, n° de compte, n° de sécu, etc.) pour des raisons toujours très urgentes et impératives.

Ici, point de hacking de haut niveau, de décryptage de données, le phishing est avant tout basé sur le social engineering, c’est-à-dire sur la manipulation de la victime ou de l’entourage de la victime, pour obtenir des informations normalement confidentielles.

Il fut un temps pas si éloigné, où le phishing était extrêmement grossier, et à moins d’être un néophyte du net ou quelqu’un de très candide, il était pratiquement impossible de ne pas sentir l’entourloupe. On recevait généralement un mail libellé en texte brut, sans logo ni page html bien lêchée, formulé ainsi :

Bonjour, cé la bank BBL et nous sommes au reget de vous annoncer que nous avons perdu vos accès dans l’ordinateur central de la bank et si vous désirez pouvoir encore retirer de l’argent au bancontact, nous devons refaire votre fiche client. Veuillez nous répondre à ce mail en nous fournissant numéro de compte, mot de passe, non et prénon et adress.

Bien à vous,

La bank BBL.

Bon j’ai peut-être exagéré sur les fautes d’orthographe, mais c’était plus ou moins comme ça, aussi délicat et discret qu’un Panzer dans votre cuisine.

Le phishing a par la suite évolué, en créant de faux sites plus ou moins bien réalisés, des emails en html comme le ferait une vraie société ayant pignon sur rue. Néanmoins, l’URL (l’adresse du site dans la barre d’adresse de votre navigateur) était souvent assez traîtres pour l’escroc à distance, avec un nom de domaine farfelu ou l’absence d’acronyme https censé signaler que vous êtes sur un site sécurisé au bénéfice d’un bête http ce qui ne fait pas très « site-de-banque-ultra-sécurisé-genre-citadelle-indestructible ».

De nos jours, le phishing est beaucoup plus vicieux. Les escrocs ont plus d’instruction en matière informatique et savent coder un site tout comme l’aurait fait le brave concepteur qui a créé le vrai site web de la banque. Les URL qu’ils ont réservées se mimétisent avec les vraies URL, le protocole de sécurité https est même en place, bref, si nous ne sommes pas prudents, il devient difficile de distinguer le faux du vrai.

C’est ce que rapporte d’ailleurs un certain Jack Archibald, développeur chez Google, qui a failli se faire avoir l’autre jour en recevant un soit disant mail de son hébergeur de site qui annonçait que son nom de domaine allait bientôt expirer (ce qui était vrai) et qu’il fallait donc qu’il renouvelle son abonnement en payant par carte de crédit (ce qui est la voie usuelle pour ce genre de transaction). Il clique sur le lien d’un email identique à celui qui est envoyé normalement par l’hébergeur et atterrit sur le site de sa banque pour effectuer le paiement.

Jack avait déjà entré presque toutes ses données lorsque son 3e oeil de développeur Google a remarqué quelque chose de louche dans l’URL du site. Capture d’écran :

Capturephishing

L’URL du dessus est fausse, l’URL en-dessous est authentique

Le moins que l’on puisse dire, c’est que si on ne fait pas vraiment attention, il est facile de ne pas remarquer qu’il y a une anomalie dans l’URL. Encore, je n’ai pas capturé la mention https qui se trouve sur les deux sites. Les deux sites ont l’air tout ce qu’il y a de plus authentique. La différence est seulement notable si on remarque l’absence de slash après le domaine national britannique « .co.uk ».

En effet, les noms de domaine étant uniques comme des numéros de GSM, l’usurpateur d’identité ne pouvait enregistrer son site avec le nom http://www.halifax.co.uk, il était obligé d’en prendre un autre. Dès lors, pour faire d’une pierre deux coups, il a enregistré comme nom de domaine pour son site bidon, des éléments qui se trouvent après le nom de domaine du site authentique, et ce, afin de pouvoir coller un maximum à la réalité. Dès lors, à défaut de ne pouvoir enregistrer halifax.co.uk, il a enregistré halifax.co.uk.creditcards.wt.seg_3.common.credit0-crdtcard-lnke-crdtcard00 comme nom de domaine, ce qui n’est pas interdit, même si c’est étrange.

Ainsi, la seule façon pour la victime de déjouer le plan vicieux de l’usurpateur est de remarquer qu’il ne s’agit pas d’un nom de domaine suivi des éléments classiques d’une URL complexe, mais d’un nom de domaine qui ressemble à une URL complexe (j’espère n’avoir largué personne).

Conscients de ce problème, cela fait déjà quelque temps que iOS7 (respect pour l’idée Apple, même si ça me pèle la langue de le dire) a trouvé une parade et quelques heures que Google Chrome a emboîté le pas à travers son navigateur encore en beta-test Chrome Canary. La parade est laquelle? Tout simplement faire en sorte que le navigateur mette en évidence le nom de domaine du site sur lequel on navigue, en escamotant le reste de l’URL qui en règle générale ne nous intéresse absolument pas. Ce qui nous donne, en visitant les mêmes pages que celles utilisées pour la capture antérieure :

Au-dessus, la page authentique. En-dessous, le phishing

Au-dessus, la page authentique. En-dessous, le phishing

Alors, en attendant que tous les navigateurs se mettent à escamoter les URL, ouvrez l’œil, demandez-vous toujours si le mail que vous recevez est plausible et si la société qui vous contacte a pour habitude vous contacter de cette façon.

Nous reviendrons sur le phishing du point de vue de ses implications légales bientôt.

A plus!

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s