Bienvenue invité. SVP enregistrez vous pour être membre.
:: Recherche
:: Menu Principal

Parcourir ce sujet:   1 Utilisateur(s) anonyme(s)





Hameçonnage (Phishing) via IDN Punycode
Semi pro
Inscrit:
19/11/2005 17:01
De Europe
Groupe:
Moderateurs
Post(s): 458
Hors Ligne
Punycode est un système utilisé par nos navigateurs pour utiliser des noms de domaines internationalisés (IDN):
https://fr.wikipedia.org/wiki/Punycode

Et ce afin d'utiliser et d'afficher des URLs avec charactères non ASCII: cyrillique, grec, chinois, etc, ou encore lettres accentuées.
Les noms de domaine internationalisés sont convertis dans un nom de domaine ASCII commençant par xn--.

Seulement voilà, des petits malins ont compris qu'ils pouvaient détourner cet avantage à leur profit en vous faisant croire que vous êtes sur un site légitime et de confiance alors que vous êtes sur un autre. C'est la technique du hameçonnage ou phishing en anglais.

Car la plupart des navigateurs afficheront par défaut l'URL "reconstituée" à partir du punycode, ce qui peut être détourné, par exemple:
https://www.xn--e1awd7f.com vous fera croire que vous êtes sur https://www.epic.com
https://www.xn--80ak6aa92e.com vous fera croire que vous êtes sur https://www.apple.com

Parade pour afficher l'URL réelle, mais "moche", dans Firefox et ses clones:
Taper dans about:config dans la barre d'adresse
Oui, oui, je vais faire attention
Taper "puny", sans les guillemets, dans la barre Rechercher
Faire un double click sur network.IDN_show_punycode afin de modifier sa valeur en "true"
C'est fait, fermer la fenêtre about:config

Pour Chrome et ses clones il semble qu'il n'existe pas de parade manuelle pour l'instant. Solutions possibles:
Utiliser l'extension Punycode Alert: https://chrome.google.com/webstore/det ... fghekidjibckjmhbhhjeomlda
Utiliser la version de développement 58.0.3029.81
Faire très attention aux URLs en attendant la release de la version 58


Sources (en anglais):
https://www.xudongz.com/blog/2017/idn-phishing/
https://en.wikipedia.org/wiki/IDN_homograph_attack
https://www.wordfence.com/blog/2017/04 ... firefox-unicode-phishing/
https://www.ghacks.net/2017/04/17/puny ... e-hard-internet-veterans/

Contribution le : 20/04 12:49:26
Créer un fichier PDF de la contribution Imprimer


Re: Hameçonnage (Phishing) via IDN Punycode
Aspirant
Inscrit:
04/03 13:57:15
Groupe:
Utilisateurs enregistrés
Post(s): 49
Hors Ligne
Citation :

Lotesdelere a écrit:

COUIC

Parade pour afficher l'URL réelle, mais "moche", dans Firefox et ses clones:
Taper dans about:config dans la barre d'adresse
Oui, oui, je vais faire attention
Taper "puny", sans les guillemets, dans la barre Rechercher
Faire un double click sur network.IDN_show_punycode afin de modifier sa valeur en "true"
C'est fait, fermer la fenêtre about:config

Intéressant.
A noter que la manip n'est pas à faire dans Cyberfox car déjà mise en "true" (enfin à vérifier quand même ... )

Contribution le : 20/04 13:49:29
Créer un fichier PDF de la contribution Imprimer


Re: Hameçonnage (Phishing) via IDN Punycode
Semi pro
Inscrit:
06/09/2004 11:50
De France
Groupe:
Utilisateurs enregistrés
Post(s): 456
Hors Ligne
À noter que Vivaldi et même Edge n'ont pas ce "problème"

Je mets des guillemets car, en général, les pêcheurs de couillons ne s'embêtent même pas à falsifier aussi finement une url de site Web...

@+
--
Pierre

Contribution le : 20/04 17:06:25
Créer un fichier PDF de la contribution Imprimer


Re: Hameçonnage (Phishing) via IDN Punycode
Pro
Inscrit:
29/05/2016 12:07
De France
Groupe:
Utilisateurs enregistrés
Post(s): 666
Hors Ligne
Citation :

ra-mon a écrit:
À noter que Vivaldi et même Edge n'ont pas ce "problème"

Je mets des guillemets car, en général, les pêcheurs de couillons ne s'embêtent même pas à falsifier aussi finement une url de site Web...

@+
--
Pierre

Pour toi tous ceux qui se font avoir sont des couillons, c'est pas sympa comme qualification.

À part ça on ne sait pas ce qu'il advient d'Internet Explorer face à ce problème ?

Tout porte à croire qu'il n'est pas concerné

Contribution le : 21/04 12:29:16
_________________
"L'expérience est le nom que l'on donne à ses erreurs " ~ Oscar Wilde ~
Mes blogs : http://easy.pc.blog.free.fr ET http://www.easy-pc.org
Créer un fichier PDF de la contribution Imprimer


Re: Hameçonnage (Phishing) via IDN Punycode
Semi pro
Inscrit:
19/11/2005 17:01
De Europe
Groupe:
Moderateurs
Post(s): 458
Hors Ligne
Citation :
Wullfk a écrit:

À part ça on ne sait pas ce qu'il advient d'Internet Explorer face à ce problème ?
Tout porte à croire qu'il n'est pas concerné

C'est ambigu, car selon l'article originel de Xudong Zheng, IE serait impacté, captures d'écran à l'appui:
https://www.xudongz.com/cache/271546c9 ... e435406779ef9e4210daa.png
https://www.xudongz.com/cache/95b7f81c ... 99abf7ce72455eabd442b.png

Mais l'article de ghacks.net affirme que IE, Edge, Safari et Vivaldi ne seraient pas concernés:
Citation :
Good news is that some browsers protect you against the attack already. If you use Internet Explorer, Microsoft Edge, Safari or Vivaldi, you will notice that the Punycode address is displayed automatically.


A chacun de tester ses navigateurs donc.
Si vous cliquez sur https://www.xn--80ak6aa92e.com et que votre navigateur affiche https://www.apple.com c'est qu'il s'est fait avoir, et vous aussi peut-être par la même occasion.

Contribution le : 21/04 18:19:05
Créer un fichier PDF de la contribution Imprimer


Re: Hameçonnage (Phishing) via IDN Punycode
Semi pro
Inscrit:
06/09/2004 11:50
De France
Groupe:
Utilisateurs enregistrés
Post(s): 456
Hors Ligne
Wullfk a écrit:

Citation :
Pour toi tous ceux qui se font avoir sont des couillons, c'est pas sympa comme qualification.

Ou des tanches, si on veut rester dans le domaine de la pêche à la ligne

Citation :
À part ça on ne sait pas ce qu'il advient d'Internet Explorer face à ce problème ?
Tout porte à croire qu'il n'est pas concerné

L'IE11 gentiment fourni avec mon Win7 semble au niveau de Vivaldi, sur ce point

Contribution le : 21/04 18:46:44
Créer un fichier PDF de la contribution Imprimer



 Haut   Précédent   Suivant




Enregistrer votre réponse
Compte*
Nom   Mot de passe    
Message:*


Vous ne pouvez pas débuter de nouveaux sujets.
Vous pouvez voir les sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

[Recherche avancée]