Alors que Chrome félicite sa sécurité, des adresses en unicode facilitent le phishing
▻https://www.nextinpact.com/news/104053-alors-que-chrome-felicite-sa-securite-adresses-en-unicode-facilit
Dans ce billet d’autopromotion, Google affiche encore fièrement sa barre d’adresse avec un cadenas vert, une mention « Securisé » et l’URL en partie verte du moteur de recherche. Mais cela n’est que le signe de l’existence d’un chiffrement entre l’appareil de l’internaute et le serveur, ce qui donne en général une impression de sécurité totale. Une considération de plus en plus obsolète.
Le 15 avril, la société de sécurité Wordfence a publié un site prouvant qu’il est désormais possible de tromper, sans grand effort, un internaute en se fondant sur ces outils. Le biais ? Une adresse web écrite en ASCII, conçue pour imiter celle du service visé.
Elle s’appuie sur les IDN (noms de domaine internationaux) qui peuvent contenir des caractères autres que ceux du latin. Il suffit d’associer un certificat TLS gratuit à une telle adresse pour obtenir la sacro-sainte mention « Sécurisé » à côté d’un domaine, qui apparaît alors comme normal sur certains navigateurs :
La cible du test est Epic Systems, une société de développement informatique, qui détient le site « epic.com ». Homakov a repris l’adresse « ▻https://www.xn--e1awd7f.com », dont l’interprétation en ASCII ressemble presque parfaitement au fameux « epic.com » dans les barres d’adresse de Chrome et Firefox ; Edge, lui, affiche le texte de base.
L’expérience a été répliquée par le chercheur Xudong Zheng, affichant l’adresse « apple.com » via « ▻https://www.xn--80ak6aa92e.com ». Un dispositif facilité par la montée en puissance des certificats gratuits proposés de manière automatisable via Let’s Encrypt, mais qui existait déjà avant eux.
