Google a mis en ligne une page détaillant la sécurité de son navigateur Chrome, qui s'appuie pour partie sur sa barre d'adresses et les certificats TLS. Pourtant, ces marqueurs habituels de la sécurité d'un site peuvent être aisément détournés. Un problème connu depuis des mois.
La sécurité des navigateurs web est un combat permanent. Hier, Google rappelait les nombreux efforts consentis au fil des années, alors que de nouveaux biais apparaissent pour faciliter le phishing. La firme américaine a mis en ligne une page, compilant l'ensemble des outils censés garantir la quiétude des internautes.
Chrome, des moyens de sécurité connus
Le principal moyen est le Chrome Safe Browsing, lancé il y a dix ans pour lutter contre le phishing et affichant plus de 250 millions d'alertes par mois. Il analyse les pages et, au besoin, interpose un avertissement en plein écran, prévenant qu'un site peut être dangereux ou trompeur.
L'entreprise mise aussi sur son gestionnaire de mots de passe Smart Lock, qui doit libérer l'utilisateur du fardeau de la mémorisation et de la synchronisation de ses identifiants. Sur Android et Chromebook, la fonction s'occupe également de l'ouverture de session, via des appareils de confiance (comme une montre connectée). Enfin, le navigateur est mis à jour automatiquement toutes les six semaines ; un rythme que Firefox et Opera suivent désormais.
Si ces efforts constants sont louables, ils ne semblent plus suffisants et impriment des habitudes qui peuvent s'avérer néfastes pour l'internaute. Une démonstration publiée il y a quelques jours constitue un exemple frappant, à partir d'un problème connu de longue date.
Des URL en ASCII plus vraies que nature
Dans ce billet d'autopromotion, Google affiche encore fièrement sa barre d'adresse avec un cadenas vert, une mention « Securisé » et l'URL en partie verte du moteur de recherche. Mais cela n'est que le signe de l'existence d'un chiffrement entre l'appareil de l'internaute et le serveur, ce qui donne en général une impression de sécurité totale. Une considération de plus en plus obsolète.
Le 15 avril, la société de sécurité Wordfence a publié un site prouvant qu'il est désormais possible de tromper, sans grand effort, un internaute en se fondant sur ces outils. Le biais ? Une adresse web écrite en ASCII, conçue pour imiter celle du service visé.
Elle s'appuie sur les IDN (noms de domaine internationaux) qui peuvent contenir des caractères autres que ceux du latin. Il suffit d'associer un certificat TLS gratuit à une telle adresse pour obtenir la sacro-sainte mention « Sécurisé » à côté d'un domaine, qui apparaît alors comme normal sur certains navigateurs :
https://t.co/Yv9nZupQ5h - unicode in domain names is very dumb idea, unlimited phishing opportunities and useless feature for 99% of users pic.twitter.com/FPXkIby8KY
— Egor Homakov (@homakov) 15 avril 2017
La cible du test est Epic Systems, une société de développement informatique, qui détient le site « epic.com ». Homakov a repris l'adresse « https://www.xn--e1awd7f.com/ », dont l'interprétation en ASCII ressemble presque parfaitement au fameux « epic.com » dans les barres d'adresse de Chrome et Firefox ; Edge, lui, affiche le texte de base.
L'expérience a été répliquée par le chercheur Xudong Zheng, affichant l'adresse « apple.com » via « https://www.xn--80ak6aa92e.com/ ». Un dispositif facilité par la montée en puissance des certificats gratuits proposés de manière automatisable via Let's Encrypt, mais qui existait déjà avant eux.
Les limites des conseils actuels sur le web
Ces exemples montrent les limites de la pédagogie habituelle autour de la sécurité du web. Il ne suffit pas de vérifier l'URL et l'apparition d'un cadenas vert pour être en sécurité. Ces deux éléments sont même maintenant à la base de tromperies, exploitant au mieux les capacités des navigateurs.
L'arrivée de Let's Encrypt est une avancée majeure pour la sécurité du web, permettant à des millions de sites d'obtenir très facilement un certificat TLS fourni par une autorité reconnue sans frais (voir notre analyse), et donc un chiffrement des échanges avec leurs serveurs. Des hébergeurs comme OVH et des fabricants de NAS comme Synology, par exemple, permettent d'en obtenir automatiquement.
Mais souvent, cela ne s'est pas accompagné d'une meilleure explication sur la signification exacte du cadenas vert, de ses limites, ou de l'intérêt de certificats à validation étendue (EV) qui ajoutent une couche d'information importante aux utilisateurs. Résultat, certains s'imiscent dans les failles et l'internaute ne dispose pas des connaissances nécessaires pour se prémunir des nouvelles attaques mises en place.
Un certificat à validation étendue (EV) donne des informations vérifiées sur la société derrière un nom de domaine
Ainsi, ils sont habitués à croire que le cadenas à côté de la barre d'adresse garantit que le site consulté est le bon... alors qu'il assure seulement que le contenu consulté est transmis de manière sécurisée. Ce qui revient à considérer qu'une bouteille d'eau ne contient pas de poison parce qu'elle est scelée, sans se préoccuper de qui vous l'a donnée.
L'exemple d'« epic.com » montre d'ailleurs une certaine ironie : avec son certificat, le faux site paraît plus sécurisé que l'original, ne proposant qu'une navigation en HTTP.
Des mesures déjà en place dans des navigateurs
Le problème est connu de longue date, et certains navigateurs contiennent déjà des outils pour s'en prémunir. C'est le cas de Chrome et de sa base Chromium, qui n'affiche pas la version unicode si l'URL contient des caractères de plusieurs langues, par exemple. Firefox, lui, s'appuie aussi sur le mélange des langues et une liste blanche de noms de domaine pour gérer l'affichage.
Mais ces mesures ne semblent donc pas encore parfaites. Un correctif serait en préparation dans Chrome Canary. Côté Firefox, le ticket lié au problème a été réouvert fin mars. Il est néanmoins possible de le corriger en tapant about:config dans la barre d'adresse et en mettant la valeur network.IDN_show_punycode sur true. De son côté, Edge n'est pas touché.
En attendant, faites donc attention aux sites sur lesquels vous naviguez – même lorsqu'un cadenas vert est présent – et n'hésitez pas à regarder de plus près le certificat ou à n'accorder votre confiance que lorsqu'une validation étendue (donc avec vérification de la structure derrière le site) est affichée.
