Même les URL qui ne font pas partie des liens cliquables sont utilisées à des fins de spoofing. Les attaquants profitent souvent de la similarité de différentes lettres pour tromper leur victime. Ces attaques dites homographiques peuvent être difficiles à détecter dans certaines circonstances.
Dans le cas le plus simple, le pirate utilise une URL ou un domaine avec des lettres qui, combinées, donnent l’impression de former d’autres lettres. Quelques exemples :
- Un email de « support@lacebook.com » : un petit « l » est utilisé à la place d’un petit « f ».
- Un lien qui a pour URL « https://secure.arnazon.com/ » : la combinaison des lettres « rn » fait de loin le même effet qu’un « m ». Le sous-domaine « secure » et la mention « https » attirent l’attention de l’utilisateur et distraient du nom de domaine.
La réussite de la tentative de spoofing dépend beaucoup de la manière dont elle est rédigée. Si le contenu de l’email parvient à créer suffisamment d’inquiétude, ce genre de petit détail est facilement négligé.
Une autre variante de l’attaque homographique est plus difficile à repérer : le nom de domaine internationalisé (IDN). L’attaquant vous envoie une URL qui contient des lettres d’un alphabet différent. S’il s’agit d’une lettre qui ressemble visuellement à une lettre de l’alphabet latin, l’illusion peut être vraiment saisissante. Le pirate utilise ici une adresse en punycode.
L’astuce : l’URL d’origine ne contient, par exemple, pas le caractère « a » de l’alphabet latin, mais la variante issue de l’alphabet cyrillique. Les deux lettres se confondent très facilement. Certains navigateurs n’affichent pas les caractères qui ne sont pas issus de l’alphabet latin comme du punycode. Ainsi l’utilisateur ne se rend pas compte qu’il est arrivé sur le mauvais site.
Pour prévenir les attaques homographiques de ce type, vous devez vous assurer que votre navigateur affiche toujours les domaines avec des caractères non latins comme du punycode. En outre, ne cliquez jamais sur des URL en lien avec des données sécurisées, la page d’accueil de votre banque par exemple. À la place, enregistrez-les dans vos favoris et ouvrez-les par ce biais.
Si vous vous retrouvez sur un site dont vous doutez de l’authenticité, suivez la procédure suivante :
- vérifiez que le site provient d’une source chiffrée HTTPS. La plupart des sites Web actuels prennent en chargele chiffrement HTTPS. Toute page qui accepte des données de votre part, comme un mot de passe ou un formulaire, devrait à l’heure actuelle toujours et exclusivement être chargée en HTTPS. Si ce n’est pas le cas, il existe un risque que le site Web soit un site malveillant ou une contrefaçon ;
- vérifiez le certificat SSL : si le site a été chargé crypté via HTTPS, vous pouvez afficher le certificat SSL du serveur. Assurez-vous que le certificat fait référence à l’organisation prétendument à l’origine du site. Si ce n’est pas le cas, il est possible que vous soyez sur le mauvais site ;
- si le doute n’est pas dissipé, fermez la fenêtre du navigateur.
Les attaques numériques ne sont pas à prendre à la légère. Une fois les données confidentielles volées, il est difficile de limiter les dégâts. Comme dit le dicton, « mieux vaut prévenir que guérir ».