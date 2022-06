Alerte de sécurité urgente concernant Microsoft Office : toutes les applications sont vulnérables aux attaques par homographe.



C'est une nouvelle semaine, et il y a une autre preuve de concept pour une technique de phishing. La semaine dernière, nous avons parlé d'une technique de phishing permettant de détourner des comptes WhatsApp, et la semaine précédente, nous avons fait état d'une campagne de phishing visant les utilisateurs d'Intuit QuickBooks. Cette nouvelle preuve de concept s'appuie sur une technique de phishing établie, connue sous le nom d'attaque par homographe de nom de domaine internationalisé (IDN).







Une attaque par homographe fait appel à ce que l'on appelle des homoglyphes. Les homoglyphes sont des lettres ou des caractères qui semblent identiques ou proches de l'être, comme le "L" minuscule et le "i" majuscule. Les attaquants peuvent exploiter ce genre de similitudes en dirigeant les victimes vers des sites Web dont l'URL semble légitime, mais dont l'orthographe est en fait légèrement différente. Par exemple, les victimes peuvent penser qu'elles visitent le site google.com, alors qu'elles visitent en réalité le site g00gle.com. Dans une attaque homographique, les attaquants contrôlent ce domaine mal orthographié et l'utilisent pour distribuer des logiciels malveillants ou voler les identifiants de connexion des victimes en présentant aux utilisateurs un site Web qui imite le site Web situé dans le domaine légitime.



Une attaque par homographe IDN est un type particulier de cette forme d'attaque qui exploite des lettres d'autres alphabets. Les noms de domaine étaient à l'origine limités aux chiffres arabes et à l'alphabet latin, qui sont utilisés par la langue anglaise. Toutefois, de nombreuses langues utilisent des lettres qui ne figurent pas dans l'alphabet latin, de sorte qu'une nouvelle norme a fini par voir le jour pour l'enregistrement des noms de domaine avec des caractères non latins. Les noms de domaine enregistrés de cette manière utilisent toujours les caractères latins en dessous, mais ils peuvent être affichés avec des caractères non latins.







Malheureusement, certains caractères latins et non latins semblent presque identiques. Par exemple, l'alphabet latin a la lettre "a", et l'alphabet cyrillique a la lettre "a". Ces deux lettres semblent pratiquement indiscernables, mais sont techniquement deux caractères différents (Unicode 0061 et Unicode 0430, respectivement). Les acteurs malveillants peuvent utiliser ces similitudes dans le cadre d'attaques IDN homographes en enregistrant des noms de domaine qui semblent légitimes, mais qui sont en fait orthographiés avec un ou deux caractères non latins. Par exemple, "аpple.com" utilise le "a" cyrillique et est en fait "xn--pple-43d.com" lorsqu'il est affiché avec des caractères latins. Un pirate pourrait envoyer un courriel d'hameçonnage contenant un lien vers ce domaine, et le destinataire n'aurait probablement aucune idée de la différence entre l'URL et celle du site Web légitime apple.com.



Certains navigateurs Web et clients de messagerie tentent de se protéger contre les attaques par homographe IDN en affichant les noms de domaine internationalisés avec des caractères latins, plutôt qu'avec des caractères non latins, afin que les utilisateurs puissent faire la distinction entre le domaine légitime apple.com et le nom de domaine xn--pple-43d.com qui apparaît comme "аpple.com" lorsqu'il est rendu avec des caractères cyrilliques. Cependant, les chercheurs de Bitfender ont mis en évidence le fait que la suite complète d'applications Microsoft Office, y compris le client de messagerie Outlook 365, rend les IDN avec des caractères non latins, laissant les utilisateurs vulnérables aux attaques par homographe IDN. L'image ci-dessus montre xn-pple-43d.com rendu comme "аpple.com" dans Oulook 365.







Les chercheurs affirment avoir signalé ce comportement à Microsoft en octobre 2021, et le centre de réponse de sécurité de Microsoft a apparemment confirmé les conclusions des chercheurs, mais Microsoft n'a pas encore pris de mesures à cet égard. Les chercheurs présentent ce comportement de rendu IDN comme un problème à résoudre, mais la situation n'est pas aussi claire, car tout le monde n'est pas d'accord sur les meilleures pratiques de protection contre les attaques par homographe IDN. Mozilla, par exemple, affiche toujours certains IDN avec des caractères non latins dans son navigateur Firefox. Le navigateur utilise un algorithme qui tente d'afficher les IDN trompeurs avec des caractères latins tout en affichant les IDN fiables avec des caractères non latins. Selon Mozilla, les fournisseurs de noms de domaine devraient être les premiers responsables de la protection des utilisateurs contre les attaques d'homographes IDN en n'approuvant pas les noms trompeurs. Mozilla souhaite prendre en charge les caractères non latins afin de ne pas "traiter les scripts non latins comme des citoyens de seconde zone".



Cependant, le propre navigateur Edge de Microsoft est moins indulgent envers les IDN, comme vous pouvez le voir dans l'image ci-dessus, où Edge affiche xn--n1aag8f.com en caractères latins, alors que Firefox affiche ce nom de domaine avec des caractères non latins comme "оорѕ.com." Ainsi, on pourrait penser que Microsoft rendrait systématiquement les IDN avec des caractères latins dans ses différentes applications, notamment la suite Microsoft Office. Cela dit, Edge est construit sur Chromium, donc Edge peut simplement employer l'atténuation de l'attaque par homographe IDN intégrée à Chromium, plutôt que de rendre les IDN en caractères latins comme spécifié par les développeurs de Microsoft.



HOTHARDWARE