Il y a plusieurs années, un chercheur en sécurité a découvert une vulnérabilité dans Google Chrome qui permettait à de faux domaines de contourner les mesures de sécurité du navigateur. Le chercheur a enregistré un domaine portant le nom de « xn--80ak6aa92e.com », mais qui s’affichait comme « apple.com » dans le navigateur, démontrant ainsi la facilité avec laquelle il était possible de tromper les utilisateurs. Ce n’est qu’un exemple de ce que l’on appelle une attaque homographique (homograph attack), ou parfois un « domaine similaire » (look-alike domain).

Les attaques homographiques exploitent la similitude entre les caractères de différents alphabets pour créer des noms de domaine qui se ressemblent, dupant ainsi même les utilisateurs les plus prudents. De l’imitation de marques connues à l’usurpation de l’identité d’institutions financières, les attaques homographiques représentent un risque important et méritent d’être identifiées. Nous allons vous présenter les mécanismes de ces attaques et les mesures pratiques que vous pouvez prendre pour protéger votre organisation.

Qu’est-ce qu’une attaque homographique ?

Une attaque homographique est une technique d’hameçonnage dans laquelle les hackers exploitent les similitudes entre les caractères pour tromper les utilisateurs. Par exemple, en Unicode, le caractère cyrillique « а » (U+0430) est identique au caractère latin « a » (U+0061). Ils peuvent utiliser des caractères de différents alphabets qui se ressemblent pour créer des noms de domaine en apparence légitimes, mais en réalité malveillants. Lorsque les utilisateurs cliquent sur ces liens frauduleux, ils sont dirigés vers des sites Web malveillants qui peuvent voler leurs informations d’identification ou infecter leurs appareils avec des logiciels malveillants.

Les utilisateurs peuvent ainsi être amenés à visiter de faux sites Web ou à télécharger des logiciels malveillants, en pensant qu’ils ont affaire à une source fiable. Si vos utilisateurs finaux internes sont la cible d’une attaque homographique, les risques peuvent être importants. Ils peuvent saisir par inadvertance des informations sensibles, telles que des identifiants de connexion, des données financières ou des informations personnelles, sur le faux site Web de l’attaquant, qui peut les utiliser pour lancer d’autres attaques.

Si les hackers usurpent l’identité de votre entreprise, ils peuvent également piéger vos clients potentiels ou vos partenaires commerciaux et nuire à votre réputation.

Caractéristiques des attaques homographiques à surveiller :

• Caractères Unicode : les attaques homographiques exploitent souvent l’utilisation de caractères Unicode dans les noms de domaine internationalisés (IDN). Ces caractères peuvent ressembler à des caractères ASCII standard, ce qui rend difficile pour les utilisateurs de distinguer les domaines légitimes des domaines malveillants.
• Punycode : les IDN sont souvent encodés en Punycode, un format qui représente les caractères Unicode en ASCII. Par exemple, un domaine comme « exаmple.com » (où « а » est un « a » cyrillique) peut être codé comme « xn--exmple-9cf.com ». Comprendre et reconnaître le Punycode peut aider à identifier les attaques homographiques potentielles.
• Kits d’hameçonnage préemballés : les hackers utilisent souvent des kits d’hameçonnage préemballés qui comprennent des modèles, des scripts et des outils pour créer des domaines homographiques et des pages d’hameçonnage convaincants. Ces kits peuvent être achetés sur le Dark Web, ce qui facilite l’exécution d’attaques homographiques par des hackers moins expérimentés sur le plan technique.
• Exploitation de la confiance : les attaques homographiques s’appuient souvent sur des techniques d’ingénierie sociale pour tromper les utilisateurs. En imitant des marques ou des entreprises de confiance, les hackers exploitent la confiance que les utilisateurs ont dans ces entités, ce qui rend les attaques plus efficaces.

Comment se déroule une attaque homographique ?

Une attaque homographique peut se dérouler de plusieurs manières, mais voici un scénario type, étape par étape :

1. Enregistrement d’un nom de domaine : le hacker enregistre un nom de domaine qui ressemble fortement à un vrai site Web bien connu. Par exemple, il peut enregistrer « g00gle.com » au lieu de « google.com », où la lettre « o » est remplacée par le chiffre « 0 ».
2. Hameçonnage : le hacker envoie un e-mail d’hameçonnage à des victimes potentielles. L’e-mail semble provenir d’une source fiable, telle qu’une banque ou un service connu. L’e-mail contient un lien en apparence légitime, mais qui mène en réalité au site malveillant de l’attaquant.
3. Interaction de l’utilisateur : la victime clique sur le lien, pensant qu’il est sûr. Le site malveillant est conçu pour ressembler au vrai site, avec une mise en page, un logo et un contenu similaires.
4. Vol de données : une fois sur le faux site, la victime peut être invitée à saisir des informations sensibles, telles que ses identifiants de connexion, les détails de sa carte de crédit ou des données personnelles. Le hacker récupère ces informations et les utilise dans le cadre d’activités frauduleuses.
5. Distribution de logiciels malveillants : dans certains cas, le faux site peut également distribuer des logiciels malveillants. Lorsque la victime clique sur certains liens ou télécharge des fichiers, elle installe sans le savoir un logiciel malveillant sur son appareil.
6. Exploitation ultérieure : grâce aux informations volées ou à l’accès à l’appareil de la victime, l’attaquant peut mener d’autres activités malveillantes, telles que l’usurpation d’identité, la fraude financière ou la propagation de logiciels malveillants.

Comment identifier et prévenir les attaques homographiques ?

Identifier et prévenir les attaques homographiques se révèle crucial pour maintenir la sécurité et la confiance de votre entreprise. Voici les moyens les plus importants et les plus efficaces pour y parvenir :

1. Sensibilisation et formation des utilisateurs :
   • Formation régulière : organisez régulièrement des sessions de formation à la cybersécurité pour sensibiliser les employés aux attaques homographiques et à la manière de les reconnaître.
   • Simulations d’hameçonnage : organisez des simulations d’hameçonnage pour tester et améliorer la capacité des employés à identifier les e-mails et les liens suspects.
   • Vérification des URL : formez les utilisateurs à vérifier les URL en vérifiant la présence de HTTPS et en examinant attentivement le nom de domaine. Encouragez-les à saisir les URL directement dans le navigateur plutôt que de cliquer sur les liens contenus dans les e-mails.
2. Authentification multifactorielle (MFA) :
   • Mettre en œuvre l’authentification multifactorielle (MFA) : exigez une authentification multifactorielle pour tous les comptes d’utilisateurs afin d’ajouter une couche supplémentaire de sécurité en plus des noms d’utilisateurs et des mots de passe.
3. Surveillance des domaines :
   • Surveiller les domaines similaires : utilisez les services de surveillance des domaines pour détecter et bloquer les inscriptions de domaines suspects qui ressemblent étroitement au domaine de votre entreprise.
   • Services de protection de la marque : utilisez des services de protection de la marque qui peuvent vous aider à identifier et à supprimer les domaines malveillants.
   • Retrait de domaines : si vous découvrez qu’un domaine homographe est utilisé à des fins malveillantes, vous pouvez le signaler au service d’enregistrement du domaine ou utiliser des moyens légaux pour le faire retirer.
4. Outils et logiciels de sécurité :
   • Extensions de navigateur : encouragez l’utilisation d’extensions de navigateur capables de détecter et de bloquer les attaques homographiques.
   • Logiciels de sécurité : déployez des logiciels de sécurité avancés et des pare-feu capables d’identifier et de bloquer le trafic malveillant.
   • Paramètres du navigateur : certains navigateurs Web disposent de paramètres qui peuvent aider à atténuer les attaques homographiques. Par exemple, vous pouvez configurer votre navigateur pour qu’il affiche toujours le Punycode au lieu de l’Unicode pour les IDN.
   • Extensions de sécurité DNS (DNSSEC) : la mise en œuvre de DNSSEC peut aider à vérifier l’authenticité des données DNS, ce qui rend plus difficile pour les attaquants de rediriger le trafic vers des sites malveillants.
5. Filtrage des e-mails :
   • Filtres d’e-mail avancés : utilisez des solutions avancées de filtrage des e-mails pour détecter et bloquer les e-mails d’hameçonnage contenant des URL homographes.
   • SPF, DKIM et DMARC : mettez en œuvre le SPF (Sender Policy Framework), le DKIM (DomainKeys Identified Mail) et le DMARC (Domain-based Message Authentication, Reporting, and Conformance) pour renforcer la sécurité des e-mails.
6. Audits de sécurité réguliers :
   • Évaluations de la vulnérabilité : effectuez régulièrement des évaluations des vulnérabilités et des tests de pénétration afin d’identifier les faiblesses potentielles en matière de sécurité et d’y remédier.
   • Politiques de sécurité : veillez à ce que les politiques de sécurité soient à jour et à ce que tous les employés les connaissent et les respectent.
7. Réponse aux incidents :
   • Élaborer un plan : créez un plan complet de réponse aux incidents qui comprend des procédures de détection, de réponse et de récupération en cas d’attaque homographique.
   • Exercices réguliers : effectuez régulièrement des exercices de réponse aux incidents afin de vous assurer que l’entreprise est prête à gérer efficacement les incidents de sécurité.
   • Analyse post-incident : après une attaque homographique, procédez à une analyse post-incident approfondie pour comprendre comment l’attaque a réussi et ce qui peut être amélioré dans vos défenses.
   • Assistance aux utilisateurs : apportez un soutien clair et immédiat aux utilisateurs susceptibles d’avoir été affectés par l’attaque, notamment en prenant des mesures pour sécuriser leurs comptes et surveiller tout signe de fraude.

Outils EASM et découverte de domaines

Il est plus important que jamais d’avoir une visibilité sur votre surface d’attaque externe. Les outils de gestion de la surface d’attaque externe (EASM) aident les entreprises à identifier et à surveiller chaque composant de leur surface d’attaque peut sembler écrasante, y compris les actifs inconnus. L’outil EASM amélioré par l’IA d’Outpost24 comprend une découverte de domaine, qui trouve tous les domaines et sous-domaines d’une entreprise, ainsi que les actifs qui leur sont associés. Cela permet de :

• analyser et trier les domaines candidats découverts
• découvrir les domaines qu’ils sont susceptibles de posséder
• découvrir les domaines suspects, tels que les domaines homographes
• identifier et signaler rapidement toute anomalie ou tout domaine non autorisé

Cartographier la surface d’attaque de votre entreprise

Découvrez et sécurisez vos actifs numériques avec la solution EASM d’Outpost24. Sa fonction avancée de découverte de domaines permet d’identifier et d’atténuer les attaques homographiques, garantissant ainsi la protection de votre présence en ligne. Réservez votre analyse gratuite de la surface d’attaque.

FAQ