dossier google amp et equifax victimes de phishing par redirection

Google AMP et Equifax: attention au Phishing par redirection !

Vous passez la majeure partie de votre temps sur Internet et pensez que chaque seconde gagnée dans le téléchargement d’une page ou caractère en moins dans un Tweet est une bonne chose ? Vous avez raison ! Mais, comme l’illustrent les exemples récents de Google et Equifax, cela demande une vigilance encore plus grande !

Dans l’intention louable d’accélérer le temps de chargement des pages web sur terminal mobile, Google a créée AMP (« Accelerated Mobile Pages »). Comme l’indique le site AMPPROJECT.ORG, les pages diffusées dans le format AMP à travers le cache spécifique de Google se chargent « quasi instantanément » ce qui incite les utilisateurs à consommer ces sites au détriment du Web classique. Problème, lire du contenu diffusé à ce format et dans le cache oblige à utiliser une URL intermédiaire du type https://www.google.com/amp/www.example.com/amp.doc.html. Dans cet exemple, l’utilisateur souhaite accéder à www.example.com mais pour ce faire il va aller le chercher dans la cache google amp, à travers l’URL spécifique, qui va apparaitre dans la barre de navigation. Problème : n’importe quel contenu diffusé sur AMP peut ainsi bénéficier d’une adresse Google qui sera donc vue comme « légitime » par l’utilisateur distrait.

Le cas concret d’un journaliste victime de cette manœuvre et mis au jour par la publication américaine Salon.com souligne l’importance d’une vigilance accrue. En l’espèce le journaliste a reçu un courrier électronique provenant soi-disant de Google – qui gère la messagerie électronique la plus utilisée au monde, Gmail.com – et l’incitant à mettre à jour son mot de passe (on se rappelle que c’est cette méthode a été utilisée pour accéder aux courriels du Directeur de campagne de Hilary Clinton en 2016). Le journaliste ne s’est pas fait prendre mais un utilisateur moins aguerri aurait pu cliquer sans crainte sur un lien contenant expressément le nom de domaine « google.com » alors que GMail lui-même utilise une l’adresse « mail.google.com » qui n’est même pas protégée par un certificat EV, n’offrant à l’utilisateur que le simple cadenas dans la barre d’adresse, bien insuffisant pour s’assurer qu’il est au bon endroit !

Plus grave encore est le cas de la société Equifax, l’organisme de crédit qui a rendu accessible les coordonnées bancaires et informations personnelles de millions d’américains à l’issue d’un piratage informatique d’une ampleur sans précédent. Si l’enquête est toujours en cours pour déterminer précisément l’origine de l’attaque, la société n’a pas arrangé les choses par la suite en utilisant un nom de domaine dédié pour tenter de rassurer ses clients. Plutôt que d’envoyer les clients vers un sous-domaine de son site principal (par exemple http://incident.equifax.com ?) l’entreprise a préféré créer le site equifaxsecurity2017.com, protégé avec un simple certificat « Domain Validation » que n’importe quel pirate peut aujourd’hui se procurer gratuitement et qui se contente de valider que le nom de domaine a bien été enregistré par le titulaire du nom de domaine. En clair, rien qui ne lie fermement le site avec la société Equifax elle-même. C’est d’autant plus gênant que ce site, censé permettre aux utilisateurs de vérifier si leurs données ont été compromises, demande bien entendu… des informations personnelles et sensibles à l’utilisateur avant de le renseigner !

Utiliser un nom de domaine spécifique n’est pas idéal pour l’utilisateur… mais cela peut aussi poser problème dans l’entreprise elle-même ! Dans ce cas précis, les équipes « réseaux sociaux » d’Equifax, sans doute perturbées par un nouveau nom en dehors de leur domaine habituel ont confondu plusieurs fois equifaxsecurity2017.com et securityequifax2017.com. Les deux sont très proches, mais le second n’avait pas été enregistré par Equifax mais par un tiers, qui a mis sur pied un site en tout point semblable à celui d’Equifax, lequel, rappelons-le, collectait les données personnelles bancaires des clients ! Heureusement le tiers en question n’était pas un malfaiteur mais un chercheur en sécurité. Plus de peur que de mal donc, et l’occasion de rappeler certains points de bon sens :

  • Il faut toujours lire l’adresse complète d’un lien avant de cliquer dessus. Si on a le moindre doute sur le nom de domaine avant le « / » il ne faut pas cliquer, ou à défaut refermer la page du navigateur. SafeBrands et ses partenaires peuvent vous aider à mettre en place des solutions de contrôle anti-phishing, n’hésitez pas à nous contacter.
  • La majorité des sites officiels utilisent des certificats EV (Extended Validation) qui établissent un lien concret entre le site et l’entreprise qui le gère, dont la raison sociale complète apparait dans la barre verte du navigateur. En l’absence de cette information, le site est sujet à caution. Les équipes certificats de SafeBrands sont à votre disposition si vous souhaitez rassurer vos propres clients.
  • Si les circonstances requièrent la mise en place d’un contenu spécifique, il est important d’élaborer une stratégie complète en interne : dépôt de sous-domaine et des variations possibles du nom en question pour s’assurer de la maîtrise de la communication et d’éviter la perte de trafic. Les juristes spécialistes de SafeBrands peuvent, là encore, vous assister dans cette tâche.