Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Alors que Chrome félicite sa sécurité, des adresses en unicode facilitent le phishing

Sortez la loupe
Logiciel 5 min
Alors que Chrome félicite sa sécurité, des adresses en unicode facilitent le phishing

Google a mis en ligne une page détaillant la sécurité de son navigateur Chrome, qui s'appuie pour partie sur sa barre d'adresses et les certificats TLS. Pourtant, ces marqueurs habituels de la sécurité d'un site peuvent être aisément détournés. Un problème connu depuis des mois.

La sécurité des navigateurs web est un combat permanent. Hier, Google rappelait les nombreux efforts consentis au fil des années, alors que de nouveaux biais apparaissent pour faciliter le phishing. La firme américaine a mis en ligne une page, compilant l'ensemble des outils censés garantir la quiétude des internautes.

Chrome, des moyens de sécurité connus

Le principal moyen est le Chrome Safe Browsing, lancé il y a dix ans pour lutter contre le phishing et affichant plus de 250 millions d'alertes par mois. Il analyse les pages et, au besoin, interpose un avertissement en plein écran, prévenant qu'un site peut être dangereux ou trompeur.

L'entreprise mise aussi sur son gestionnaire de mots de passe Smart Lock, qui doit libérer l'utilisateur du fardeau de la mémorisation et de la synchronisation de ses identifiants. Sur Android et Chromebook, la fonction s'occupe également de l'ouverture de session, via des appareils de confiance (comme une montre connectée). Enfin, le navigateur est mis à jour automatiquement toutes les six semaines ; un rythme que Firefox et Opera suivent désormais.

Si ces efforts constants sont louables, ils ne semblent plus suffisants et impriment des habitudes qui peuvent s'avérer néfastes pour l'internaute. Une démonstration publiée il y a quelques jours constitue un exemple frappant, à partir d'un problème connu de longue date.

Des URL en ASCII plus vraies que nature

Dans ce billet d'autopromotion, Google affiche encore fièrement sa barre d'adresse avec un cadenas vert, une mention « Securisé » et l'URL en partie verte du moteur de recherche. Mais cela n'est que le signe de l'existence d'un chiffrement entre l'appareil de l'internaute et le serveur, ce qui donne en général une impression de sécurité totale. Une considération de plus en plus obsolète.

Le 15 avril, la société de sécurité Wordfence a publié un site prouvant qu'il est désormais possible de tromper, sans grand effort, un internaute en se fondant sur ces outils. Le biais ? Une adresse web écrite en ASCII, conçue pour imiter celle du service visé.

Elle s'appuie sur les IDN (noms de domaine internationaux) qui peuvent contenir des caractères autres que ceux du latin. Il suffit d'associer un certificat TLS gratuit à une telle adresse pour obtenir la sacro-sainte mention « Sécurisé » à côté d'un domaine, qui apparaît alors comme normal sur certains navigateurs :

La cible du test est Epic Systems, une société de développement informatique, qui détient le site « epic.com ». Homakov a repris l'adresse « https://www.xn--e1awd7f.com/ », dont l'interprétation en ASCII ressemble presque parfaitement au fameux « epic.com » dans les barres d'adresse de Chrome et Firefox ; Edge, lui, affiche le texte de base. 

L'expérience a été répliquée par le chercheur Xudong Zheng, affichant l'adresse « apple.com » via « https://www.xn--80ak6aa92e.com/ ». Un dispositif facilité par la montée en puissance des certificats gratuits proposés de manière automatisable via Let's Encrypt, mais qui existait déjà avant eux.

Les limites des conseils actuels sur le web

Ces exemples montrent les limites de la pédagogie habituelle autour de la sécurité du web. Il ne suffit pas de vérifier l'URL et l'apparition d'un cadenas vert pour être en sécurité. Ces deux éléments sont même maintenant à la base de tromperies, exploitant au mieux les capacités des navigateurs.

L'arrivée de Let's Encrypt est une avancée majeure pour la sécurité du web, permettant à des millions de sites d'obtenir très facilement un certificat TLS fourni par une autorité reconnue sans frais (voir notre analyse), et donc un chiffrement des échanges avec leurs serveurs. Des hébergeurs comme OVH et des fabricants de NAS comme Synology, par exemple, permettent d'en obtenir automatiquement.

Mais souvent, cela ne s'est pas accompagné d'une meilleure explication sur la signification exacte du cadenas vert, de ses limites, ou de l'intérêt de certificats à validation étendue (EV) qui ajoutent une couche d'information importante aux utilisateurs. Résultat, certains s'imiscent dans les failles et l'internaute ne dispose pas des connaissances nécessaires pour se prémunir des nouvelles attaques mises en place.

Certificat SSL/TLS Validation étendue EV
Un certificat à validation étendue (EV) donne des informations vérifiées sur la société derrière un nom de domaine

Ainsi, ils sont habitués à croire que le cadenas à côté de la barre d'adresse garantit que le site consulté est le bon... alors qu'il assure seulement que le contenu consulté est transmis de manière sécurisée. Ce qui revient à considérer qu'une bouteille d'eau ne contient pas de poison parce qu'elle est scelée, sans se préoccuper de qui vous l'a donnée.

L'exemple d'« epic.com » montre d'ailleurs une certaine ironie : avec son certificat, le faux site paraît plus sécurisé que l'original, ne proposant qu'une navigation en HTTP.

Des mesures déjà en place dans des navigateurs

Le problème est connu de longue date, et certains navigateurs contiennent déjà des outils pour s'en prémunir. C'est le cas de Chrome et de sa base Chromium, qui n'affiche pas la version unicode si l'URL contient des caractères de plusieurs langues, par exemple. Firefox, lui, s'appuie aussi sur le mélange des langues et une liste blanche de noms de domaine pour gérer l'affichage.

Mais ces mesures ne semblent donc pas encore parfaites. Un correctif serait en préparation dans Chrome Canary. Côté Firefox, le ticket lié au problème a été réouvert fin mars. Il est néanmoins possible de le corriger en tapant about:config dans la barre d'adresse et en mettant la valeur network.IDN_show_punycode sur true. De son côté, Edge n'est pas touché.

En attendant, faites donc attention aux sites sur lesquels vous naviguez – même lorsqu'un cadenas vert est présent – et n'hésitez pas à regarder de plus près le certificat ou à n'accorder votre confiance que lorsqu'une validation étendue (donc avec vérification de la structure derrière le site) est affichée.

Certificat HTTPS Pwned

75 commentaires
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 18/04/17 à 12:33:32

c'est vrai que c'est complètement stupide de faire des url en unicode :stress: :reflechis:

Avatar de sleipne Abonné
Avatar de sleipnesleipne- 18/04/17 à 12:33:44

Un peu circonspect sur le titre de l'article alors que le problème touche à la fois Chrome & Firefox.

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 18/04/17 à 12:34:33

Merci beaucoup pour ce billet, très utile. C'est assez simple en effet à faire :eeek2:

Le plus difficile ça va être de (ré)éduquer monsieur tout-le-monde. Déjà qu'il avait 10 ans à comprendre l'importance du "cadenas vert".

C'est impératif que les dev des navigateurs prennent à bras le corps le problème !

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 18/04/17 à 12:50:22

jb18v a écrit :

c'est vrai que c'est complètement stupide de faire des url en unicode :stress: :reflechis:

Population mondiale: 7400 millions
Nombre de personnes utilisant l'alphabet latin: 4900 millions
=> Nombre de personnes utilisant un autre alphabet = 2500 millions

Même avec les pincettes d'usage concernant les chiffres de wikipedia, ca fait 1 tiers de la planète qui trouve "completement stupide" de faire des URL en ASCII.

Édité par 127.0.0.1 le 18/04/2017 à 12:50
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 18/04/17 à 12:50:37

Je passe sur les propos débiles du twittos qui considère que tout le monde devrait causer anglais. 🙄

Pour les IDN, c'est connu de longue date et n'a pas eût d'effets sur l'hameçonnage (voirhttp://www.bortzmeyer.org/idn-et-phishing.html)

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 18/04/17 à 12:51:23

C'est quoi firefox ? :troll:

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 18/04/17 à 12:54:54

127.0.0.1 a écrit :

Population mondiale: 7400 millions
Nombre de personnes utilisant l'alphabet latin: 4900 millions
=> Nombre de personnes utilisant un autre alphabet = 2500 millions

Même avec les pincettes d'usage concernant les chiffres de wikipedia, ca fait 1 tiers de la planète qui trouve "completement stupide" de faire des URL en ASCII.

C'est nous les blancs avec alphabet latin qui avons créé le net.
Si ils voulaient un net écrit en bantou, malais ou petit gris, ils n'avaient qu'à l'inventer, les sauvages.
Le net est à nous. Après avoir volé nos emplois, ils ne voleront pas notre net.

Avatar de numerid Abonné
Avatar de numeridnumerid- 18/04/17 à 13:02:35

Et encore... la majorité des langues qui utilisent les caractères latins ont un alphabet nettement plus étendu que l'ASCII de base. En français par exemple on a les : ç, é, è, ê, ë, à, ù, û, ü, î, ï, œ et æ .

Les Anglo-saxons ont l'alphabet le plus minable qui soit et c'est là-dessus qu'est basé l'Ascii.

Bref l'unicode y compris dans les url est plus que bienvenu et c'est pas trop tôt.

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 18/04/17 à 13:03:33

:mdr::incline:

non mais évidemment qu'il faut permettre d'utiliser d'autres alphabets, mais il faudrait aussi interdire ce genre d'usurpations frauduleuses :D

Avatar de Torrone Abonné
Avatar de TorroneTorrone- 18/04/17 à 13:04:13

Facile à corriger sous Firefox :

about:config -> network.IDN_show_punycode : TRUE

Il n'est plus possible de commenter cette actualité.
Page 1 / 8
  • Introduction
  • Chrome, des moyens de sécurité connus
  • Des URL en ASCII plus vraies que nature
  • Les limites des conseils actuels sur le web
  • Des mesures déjà en place dans des navigateurs
S'abonner à partir de 3,75 €