Sécurité

Phishing : les moyens de lutter

Détecter les URL

Comme nous l'avons vu dans les cas précédents, les pirates tentent toujours de "masquer" les URL des sites sur lesquels la victime de phishing est redirigée. Il existe pour cela de nombreuses méthodes, nous allons en présenter ici quelques unes afin de pouvoir plus facilement détecter un phishing.

Utilisation de map :
Cette méthode est utilisée dans notre seconde étude de cas. Elle consiste à "écraser" un lien par une zone cliquable. Simple mais efficace.

Ecriture hexadécimale de l'URL :
Afin de rendre l'URL plus difficilement lisible, les caractères de l’adresse IP sont exprimés en caractères hexadécimaux (en base 16). De même, les caractères dans l’URL peuvent eux aussi être exprimés en hexadécimal. Par exemple, pour une attaque par phishing où un pirate se faisait passer pour la banque Citibank, l'URL du mail était http://%32%30%39%2E%39%38%2E%38%36%2E%32%33%36:%38%37/%63%69%74
/%69%6E%64%65%78%2E%68%74%6D
. Après conversion, cette URL devient http://209.98.86.236:87/cit, ce qui est bien plus lisible. A noter qu'il est également possible de convertir une URL en octal (base 8) ou en dword.
Si vous souhaitez convertir facilement une URL hexadécimale, vous pouvez utiliser notre service de conversion en ligne : conversion d'URL hexadécimale.
Une fois l'IP découverte, vous pouvez alors effectuer un reverse DNS lookup. Le but de cette manoeuvre est de trouver à quel nom de domaine est associé l'adresse IP. Dans notre exemple, l'adresse IP 209.98.86.236 correspond au nom de domaine dthilmony-host236.isdn.visi.com, ce qui n'a rien à voir avec la banque en question.
Si vous souhaitez effectuer un reverse DNS lookup, vous pouvez utiliser notre service en ligne : reverse DNS lookup.

Utilisation de login automatique :
Il est possible d'intégrer le login et le mot de passe dans une URL pour accéder à une page protégée.
Par exemple, pour accéder à une page protégée par un login et un mot de passe dont l'URL serait http://www.zebulon.fr/page-protegee.html, il est possible d'y accéder directement par http://login:mot-de-passe@www.zebulon.fr/page-protegee.html. Dans le cas où la page en question n'est pas protégée, le login et le mot de passe ne seront pas pris en compte. Dans ce cas, tout ce qui se trouve entre http:// et @ dans l'URL sera alors ignoré. Cela permet ainsi de créer des URL fantaisistes très simplement.
Par exemple http://www.zebulon.fr/ et http://mon-login:mon-mot-de-passe@www.zebulon.fr/ nous amène sur la même page. Dans le cas d'un phishing, le pirate pourrait alors utiliser une URL du type http://www.societegenerale.fr@61.75.15.77/ afin de tromper plus facilement l'internaute. Heureusement, ce genre d'URL ne fonctionne plus aujourd'hui avec les dernières mises à jour de sécurité d'Internet Explorer (c'est pourquoi il est très important de mettre à jour son système !). Quand à Firefox, l'utilisateur est prévenu par le message suivant :

 

Alerte de Firefox

Il est ainsi facile de déjouer ce genre de subterfuge.

Exploitation d'un faille de sécurité :
(Source : Assiste.com)
Les pirates sont toujours à l'affût de nouvelles failles de sécurité. Nous venons de voir que l'utilisation du caractère @ dans une URL nous permettait de créer des URL du type http://www.societegenerale.fr@61.75.15.77/. Or, si l'on ajoute les caractères %00 ou %01 devant le @, le reste de l'URL ne s'affiche pas.
Ainsi, si on reprend notre exemple, pour l'URL http://www.societegenerale.fr%00@61.75.15.77/ présente dans un email frauduleux, seule la première partie précédent %00@ serait visible, le lien affiché serait alors http://www.societegenerale.fr mais la redirection serait quand à elle l'IP du site pirate ! On se rend compte qu'une telle faille peut ainsi tromper un internaute averti !
Fort heureusement, cette faille a été corrigée : voir le Bulletin de sécurité Microsoft MS04-004.

Utilisation simultanée des différentes méthodes :
Afin de compliquer le tout, le pirate peut également mélanger les différentes méthodes que nous venons de voir (une URL hexadécimale avec utilisation de login automatique par exemple). Pour plus de détails sur les différentes façons de masquer une URL, vous pouvez consulter l'article suivant (en anglais) publié sur PC Help : http://www.pc-help.org/obscure.htm.

Vos commentaires
Laissez un commentaire !
  1. rolandro en tant qu'invité
    le 10 février 2014 à 10h14

    Très pédagogique. Merci.

    répondre
  2. riri1969 en tant qu'invité
    le 21 novembre 2006

    Trés bon outil ; Devient vite indispensable. Je ne l'ai installé que sur l'infâme I.E pensant que FF était assez sécur

    répondre
  3. yo4 en tant qu'invité
    le 30 juillet 2005

    je vais pas etre original, mais vraiment bravo et merci.

    répondre
  4. Gen en tant qu'invité
    le 26 juillet 2005

    Génial cet article, on a enfin quelque chose de complet et rempli d'exemples en ce qui concerne les méthodes de phishing et les moyens de se protéger

    Bravo Yann

    répondre
  5. pierromanu en tant qu'invité
    le 26 juillet 2005

    merci pour cet article complet et tout....

    répondre
  6. phildelo en tant qu'invité
    le 22 juillet 2005

    Salut Yann. Je viens tout juste de m'inscrire aux forums Zebulon, après avoir lu ton article. Moi qui parfois achète sur le net, je vais, bien sûr être beaucoup plus vigilent. Félicitations pour celui-ci, il est super et complet. Même moi qui suis novice, j'ai compris et ai fait les vérifs. Encore merci à toi ainsi qu'a ceux qui s'investssent pour les autres.

    répondre
  7. Yann en tant qu'invité
    le 22 juillet 2005

    Merci à vous
    Je profite également de ce commentaire pour remercier ipl_001 pour sa relecture qui a permis la corrections des fautes d'orthographes

    répondre
  8. The Brain en tant qu'invité
    le 21 juillet 2005

    Super article Yann, bien foutu et documenté, bravo !!!!

    répondre
Ecrire un commentaire