phishing des noms de domaine

Noms de domaine internationaux et Phishing : attention danger ?

Les noms de domaines dits « accentués » ou « non latins » (on parle aussi de Noms de domaine internationaux ou IDNs) sont une excellente chose dans leur principe. Les entreprises et utilisateurs francophones savent bien l’importance des accents dans notre langue. Etre obligé d’utiliser « societe » au lieu de « société » pour de simples limitations techniques était déjà frustrant, mais que dire des pays dans lesquels c’est l’alphabet lui-même qui est différent et où le recours systématique aux caractères latins sur Internet leur a longtemps interdit l’accès à Internet ? Le support des caractère cyrilliques, chinois, arabes, ou latin accentué dans de nombreuses extensions, qui a débuté il y a une dizaine d’années mais s’est accéléré avec l’apparition des nouveaux TLDs, constitue une réelle avancée pour les entreprises comme pour leurs clients locaux, et SafeBrands est fier de permettre l’enregistrement de noms de domaine dans tous les alphabets disponibles.

N’en croyez pas vos yeux

Certaines extensions comme le .com et le .net vont plus loin, et créent un réel problème en permettant d’enregistrer des noms de domaine contenant des caractères d’alphabets différents : on peut ainsi créer des noms de domaine mélangeant par exemple un « a » latin et un « С » cyrillique. Visuellement il est très difficile de faire la différence : un nom de domaine comme « Сasino.com » est d’un point de vue technique totalement différent de « Casino.com », même si les deux semblent parfaitement identiques.

C’est ce risque de confusion qu’a rappelé de façon éclatante le chercheur en sécurité Xudong Zheng le 14 avril 2017, en indiquant qu’il avait enregistré le nom de domaine « аррӏе.com » dans lequel le « а » latin a été remplacé par le « а » cyrillique, ressemblant trait pour trait au « vrai » apple.com. La société Californienne bien connue étant aussi une plateforme de commerce électronique qui gère les données personnelles de millions d’utilisateurs, on imagine sans peine le risque que ferait courir un tel nom de domaine s’il n’avait pas été enregistré à des fins didactiques !

Ce nom de domaine constituait en effet un leurre parfait pour une attaque phishing : l’adresse « аррӏе.com » qu’on aurait mentionnée dans un courrier électronique paraît totalement inoffensive, un clic suffit pour lancer le navigateur Chrome – qui représente plus de 58% de l’ensemble des navigateurs utilisés actuellement – dont la barre d’adresse affichera « www.аррӏе.com ». Il suffira au titulaire du nom de le faire pointer vers une adresse IP qu’il contrôle, pour emmener l’utilisateur sur un site totalement différent, et potentiellement malfaisant.

Le pire est que le phénomène n’a rien de nouveau : les premiers exemples sont apparus en 2005, et l’ICANN avait sonné l’alerte à l’époque. Depuis, certains Registres ont pris des mesures pour empêcher la cohabitation entre les caractères de différents scripts au sein d’un même nom de domaine. C’est par exemple le cas d’Eurid qui gère le .EU et qui n’autorise pas l’enregistrement de noms de domaine qui mélangeraient par exemple des caractères provenant des alphabets latin, grec, et cyrillique alors qu’ils sont pourtant autorisés séparément car utilisés dans les langues officielles de l’Union Européenne. C’est aussi le cas pour les noms de domaine du Registre Russe « .рф », qui ne peuvent contenir caractères latins.

Des réactions partielles et peu satisfaisantes

De son côté, l’ICANN a conscience du problème et elle a publié il y a un mois un nouveau « projet de règles dans l’implémentation des IDNs » dans laquelle les sections 16 et 17 sont spécifiquement dédiées au problème des homoglyphes. Malheureusement, il ne s’agit pas de règles contraignantes puisque le document se contente de dire que les Registres « peuvent proposer des règles d’évaluation pour interdire les scripts multiples et minimiser les confusions possibles ».

S’agissant de ces derniers, le grand absent dans ce débat reste Verisign lui-même, le Registre du .com et du .net dont les politiques d’enregistrements permettent cette dangereuse cohabitation de caractères. La société, qui se veut pourtant un leader global de la sécurité Internet, préfère sans doute communiquer sur l’enregistrement de 329,3 millions de noms de domaine enregistrés au quatrième trimestre (dont la majorité en .com) et reste, pour l’instant, totalement silencieuse sur le sujet.

Certains Registres ne sont pas donc exempts de critiques, mais que dire des navigateurs, puisque c’est avec eux que les internautes sont susceptibles d’être guidés vers des sites malfaisants ? Malheureusement ils manquent aussi de solutions concrètes ou même de réactivité.   Ainsi dans le cas de « аррӏе.com », la première alerte de Zheng à l’équipe de Chrome a eu lieu bien avant la divulgation publique de la faille, le 20 janvier, de l’aveu même du navigateur. Pourtant, la version de Chrome qui prend en compte ce problème n’est arrivée que quatre mois plus tard le 20 avril, une éternité pour une telle faille de sécurité.

Par ailleurs, la solution elle-même (reprise par Firefox et déjà implémentée dans Safari) est discutable puisqu’elle consiste à afficher les noms de domaine IDNs mélangeant les scripts sous leur forme ASCII originale (soit http://xn--pple-43d.com dans le cas d’аррӏе.com). Si cela permet en effet de faire visuellement la différence avec « apple.com » il n’est pas certain que cela soit rassurant pour l’utilisateur, et surtout cela contribue à marginaliser les noms de domaines internationaux « normaux » alors que de nombreuses populations souhaitent naviguer dans leurs langues et utiliser les IDNs sans aucune intention malveillante.

Les (bons) certificats à la rescousse ?

Devant la timidité de l’ICANN, le silence du Registre concerné, et la réponse pas vraiment adaptée des éditeurs de navigateur, le responsable de la marque et de la sécurité de l’entreprise que vous êtes sans doute peut légitimement se sentir désemparé.

Heureusement, l’entreprise qui a peur que ses clients soient abusés par des noms de domaine ressemblants au sien dispose d’au moins trois armes qu’elle peut utiliser en toute indépendance et sans attendre :

Première Arme

Associer un certificat SSL à son nom de domaine. Mais pas n’importe lequel, puisqu’on voit bien en cliquant sur аррӏе.com dans Chrome, que le « cadenas vert » est bien présent et que le site est dit « sécurisé ». Mais il s’agit une sécurisation simple, obtenue avec un certificat gratuit et non vérifié de la société Let’s Encrypt, que nous évoquions dans un précédent article. Seul le vrai site apple.com a pu obtenir un certificat Extended Validation et ainsi voir afficher fièrement la raison sociale de l’entreprise (Apple Inc.) à droite de l’URL, rassurant ainsi complètement l’Internaute visitant son site.

Plus d’infos ?

Les experts en sécurité de SafeBrands se tiennent à votre disposition pour mettre en place ce type de certificats pour votre propre site. Retrouvez la gamme complète des certificats proposés par SafeBrands.

Deuxième Arme

L’enregistrement défensif de noms de domaines homoglyphiques qui, avec la juxtaposition de caractères de différents scripts sont susceptibles d’engendrer la confusion des utilisateurs. L’exemple « аррӏе.com » a fait un certain bruit, mais « epic.com » montre que bien d’autres cas sont possibles. En offrant l’enregistrement dans l’ensemble des Registres IDNs actifs et grâce au clavier virtuel spécifique que nous avons développé et qui permet de composer une représentation visuelle d’un nom de domaine homogliphique, les experts de SafeBrands peuvent vous accompagner dans ce type d’enregistrements.

Troisième Arme

La surveillance des enregistrements effectués par des tiers, y compris dans des ccTLDs. Chaque Registre local de code de pays (comme le .fr en France par exemple) étant libre de proposer sa propre politique sans lien avec l’ICANN, on ne peut être certain que tous les Registres interdisent ce mélange des scripts, potentiellement générateur de confusion. Il est donc important d’organiser une surveillance des marques clés et de leurs variations possibles avec des caractères non latins comme dans les exemples récents. Les équipes de juriste de SafeBrands peuvent vous y aider.

Signalons pour finir que l’ICANN a ouvert une période de consultation pour le nouveau projet de règles d’enregistrement en IDN que nous évoquions précédemment. Les équipes de SafeBrands pensent qu’il est important que les titulaires de marques qui sont susceptibles de subir ces cas de Phishing soient entendus sur le sujet, et nous sommes à votre disposition pour transmettre votre avis aux instances de régulation et aux Registres concernés : la sécurité est l’affaire de tous !