Une attaque homographe (ou Homograph Attack en Anglais) correspond à ce
qui se produit lorsque des hackers enregistrent des domaines quasi similaires
aux originaux, avec des certificats valides.
De la même manière que les attaquants ont recours à de nouveaux moyens
de plus en plus sophistiqués pour essayer d’éviter les techniques de détection
utilisées par les antivirus, ils améliorent également leurs méthodes pour
tromper les utilisateurs (ou tout du moins contourner les techniques
principales enseignées en matière de sécurité informatique).
Malgré cela, nous pouvons toujours faire un pas en avant pour renforcer
notre sécurité et détecter les tactiques qu’ils utilisent, comme nous allons le
voir dans cet article.
En premier lieu, ils ont considérablement amélioré la conception de
leurs arnaques à l’hameçonnage,
notamment en utilisant des images convaincantes ou en intégrant des contenus de
pages totalement authentiques.
De plus, grâce aux outils actuels et autres dictionnaires de traduction
en ligne, ils parviennent à éviter certaines erreurs de grammaire et
d’orthographe dans leurs emails.
En outre, il ne suffit plus juste de regarder l’adresse de l’expéditeur
d’un email ou d’un SMS, car grâce aux techniques d’usurpation d’identité, il
devient facile pour un attaquant de se faire passer pour quelqu’un d’autre et
de falsifier les données d’un message.
Il est aussi nécessaire de prêter attention aux liens présents dans les
emails frauduleux, car les sites d’arnaque sont souvent cachés derrière des URL
abrégées ou composées, pour ne pas révéler leur intention malveillante de prime
abord.
En dépit de tout cela, nous avions une règle d’or jusqu’ici qui nous
semblait infaillible : vérifiez toujours que la page qui s’affiche est
sécurisée et qu’elle utilise le protocole HTTPS et, surtout, qu’elle contient
bien un certificat de sécurité.
Les
cybercriminels et les sites sécurisés
Même s’il arrive le plus souvent que les sites web frauduleux utilisent
HTTP alors que les sites fiables et authentiques requièrent des informations
d’identification (tels que les réseaux sociaux, les portails bancaires etc.) et
donc utilisent HTTPS, cela ne signifie pas pour autant que les hackers s’en
dispensent. En réalité, ils peuvent même facilement convertir leur site en
HTTPS en obtenant un certificat SSL/TLS totalement valide, et ce, gratuitement.
Pour que cela fonctionne, l’attaquant doit être capable d’enregistrer un
domaine qui ressemble le plus possible au site authentique qu’il cherche à
usurper, puis d’obtenir le certificat pour ce nouveau domaine. Une option
consiste d’ailleurs à rechercher des domaines écrits de la même manière. Par
exemple, « twiitter.com » par rapport à l’original
« twitter.com » ou encore « rnercadolibre.com » pour
« mercadolibre.com ».
Rappelez-vous de ces expériences lorsque l’on vous montrait des mots
incomplets ou ceux avec des erreurs quasi imperceptibles et qui font que,
lorsque vous les lisez vite, ils vous semblent tout à fait complets et
corrects… Et bien, c’est exactement ce qui se produit pour beaucoup de gens
avec des URLs lorsqu’ils naviguent.
À première vue, si vous lisez rapidement, ces exemples pourraient tromper
un bon nombre de personnes, mais il vous suffit en réalité de regarder de plus
près pour détecter la ruse. Le hacker a besoin de pouvoir enregistrer un site
dont l’adresse est écrite différemment mais qui aurait la même apparence pour
un utilisateur, c’est donc la raison pour laquelle les attaques homographes
sont utilisées.
Retrouvez l’article complet sur :
