Le Typosquatting » est une technique toxique et très efficace de piégeage des utilisateurs du Web. Elle repose sur l’écriture d’un nom de domaine qui ressemble à un nom de domaine officiel ou privé connu par celui qui reçoit un message comportant un lien. Celui-là, en confiance, ouvre le lien ... ce que souhaite ke cyber pirate.
Cette nouvelle technique a fait l’objet de deux rapports (1) et (2) publiés en février 2018 par la société de sécurité informatique Menlo Security.
Le Principe du typosquatting repose sur le fait que notre cveraue est doté ed capciatés éotanntes moibilsant des procsesus proches ed la dysxelsie. Ces processus ont fait l’objet d’études scientifiques (lien) qui montrent que les mots sont spontanément lus par groupes de lettres.
Cette propriété est à la fois une performance et une faille. Ainsi, un pirate peut acheter des noms de domaine imitant des noms de site connus, ou envoyer un message mail avec le nom falsifié d’un correspondant habituel, la différence résidant dans un détail, par exemple une faute d’inversion de lettres (ENCS pour ENSC) ou d’utilisation d’un caractère non romain (@, &, €, etc.) ou non codifié de manière informatique classique (ç, ë, å, etc.). Loin d’être une erreur typographiques, la stratégie consiste en un leurre pour l’usager qui n’a ainsi pas conscience de s’être fait piéger.
Le typosquattage peut s’appuyer sur des noms qui mobilisent l’émotion de l’internaute, tels que « tresor-pubilc, mais aussi tresor-publics, tresar-public, tresor-public, etc. », ou « dircetion-ensc, direction-esnc, mais aussi direction-ėnsc, direčtion-ensc, directiøn-ensc, etc. ». Il peut consister en utilisation, élision ou inversion de lettres (unviresite-bordeaux, unversite-bordeaux, etc.), en suppression ou ajout d’un tiret, d’un slash ou autre (universitebordeaux, universite_bordeaux, ou universite/bordeaux, pour universite-bordeaux), en utilisation d’accentuation orthographiquement correcte (université-bordeaux), ou en modification du code terminal (.tr pour .fr, .cam pour .com, .arg pour .org, etc.). L’important est que l’erreur soit efficace et que la victime n’en prenne pas conscience, ou trop tard. Une technique très efficace repose d’ailleurs sur l’étude statistique des erreurs de frappe récurrentes de l’internaute à piéger pour lui proposer des erreurs congruentes avec son propre handicap, ses habitudes ou sa personnalité cognitive.
Dans tous les cas réussis, la victime, pensant correspondre avec une personne, une société, un organisme typosquatté, est alors invitée à donner des informations personnelles ou confidentielles dans un processus de phishing (hameçonnage).
Aucun commentaire:
Enregistrer un commentaire