Barracuda full logo

Techniques de manipulation d’URL : Punycode, typosquatting, etc.

Thèmes:
15 août 2023
|
Prebh Dev Singh

Pensées pour leurrer et escroquer l’internaute, les techniques de manipulation d’URL ont émergé et ont pris de l’ampleur durant la première moitié des années 2000. L’adoption généralisée d’Internet, mais aussi de l’e-mail comment canal de communication fiable, s’est accompagnée de l’émergence des cyberattaques. Afin d’exploiter les échanges par e-mail, les pirates se sont mis à manipuler les URL pour tromper l’utilisateur et l’amener sur des sites web malveillants. La manipulation d’URL demeure un mécanisme d’attaque puissant.

Les cybermenaces ne cessent d’évoluer. Alors que de nouvelles attaques par e-mail voient constamment le jour, les techniques déjà existantes ne cessent de se réinventer et de cibler les utilisateurs d’outils informatiques, qu’ils soient avertis ou non. Dans l’un de nos précédents articles de blog, nous nous étions penchés sur trois nouvelles techniques d’hameçonnage, à savoir les attaques exploitant les liens Google Translate, les caractères spéciaux et les images en pièces jointes.

Le présent article vous propose de découvrir des techniques similaires qui consistent à manipuler les URL dans le corps de l’e-mail pour piéger les destinataires et compromettre leur sécurité.

Qu’est-ce qu’une attaque Punycode ?

Les attaques Punycode consistent à utiliser des URL malveillantes pour tromper visuellement l’utilisateur à des fins d’escroquerie ou d’hameçonnage. Voici un exemple d’attaque Punycode :

Domaine légitime : apple.com

Domaine Punycode : аррӏе.com

Dans ce cas, le caractère latin « a » est remplacé par la lettre de l’alphabet cyrillique « а » (U+0430). Ce type d’attaque est très similaire aux attaques qui exploitent les caractères spéciaux (celles-ci consistent à utiliser des caractères Unicode de largeur nulle). Si vous recherchez « apple.com » dans la fenêtre de votre navigateur (CTRL + F ou CMD + F), un seul résultat sera renvoyé. En effet, le domaine Punycode semble identique, mais il comporte un jeu de caractères différent.

Les pirates utilisent également des noms de domaine internationaux pour créer des URL similaires ou en apparence identiques. Ce type d’attaque s’avère assez efficace, puisque les URL semblent légitimes et fiables. Il est également connu sous le nom d’attaque de nom de domaine international par homographe. Un autre exemple est G00GLE.com (similaire à GOOGLE.com). Assez simple, mais toujours d’actualité.

Depuis l’introduction des noms de domaine internationalisés (IDN), faciles à enregistrer par les pirates, bon nombre de navigateurs tentent de fournir une protection contre les attaques Punycode. Si ce type d’attaque demeure courant de nos jours, c’est premièrement parce que tous les navigateurs n’ont pas adopté la même norme pour le traitement des noms de domaines internationalisés, et deuxièmement, parce qu’il existe des cas d’utilisation légitime des caractères spéciaux dans les noms de domaine internationalisés. Chrome et Firefox, par exemple, ont adapté leurs politiques dans le but de déterminer s’il faut afficher le format Unicode ou Punycode pour chaque domaine.

Pour en savoir plus sur la politique de Google en matière de noms de domaine internationalisés, cliquez ici : https://chromium.googlesource.com/chromium/src/+/main/docs/idn.md

Bien que la plupart des navigateurs modernes fournissent désormais ce type de protection, les escrocs continuent à associer la technique Punycode à d’autres types d’attaques pour piéger les utilisateurs finaux. Par exemple, bon nombre d’attaques récentes exploitent Punycode et « Google Translate » (voir ici).

Exemple d’attaque Punycode

Dans l’exemple ci-dessus, sans le service de traduction, le domaine avec Punycode aurait été bloqué par Google Chrome. Toujours est-il que Google, qui ne traduit pas le site Web sous-jacent, fournit un lien vers la « page d’origine », à savoir un site malveillant dont le nom de domaine est encodé en Punycode.

Typosquatting : mettre à profit l’erreur humaine

Un autre exemple d’attaque par hameçonnage qui exploite les URL est le typosquatting, qui consiste à tirer parti des erreurs des internautes pour les piéger. Plus précisément, il s’agit d’enregistrer un nom de domaine très similaire au nom d’un domaine légitime. En voici un exemple :

Domaine légitime : apple.com

Domaine de typosquatting : aple.com

Contrairement aux attaques Punycode, cette technique ne s’appuie pas sur les jeux de caractères non latins. Autre exemple : goglle.com au lieu de google.com.

Les noms de domaines ainsi détournés sont souvent utilisés dans la balise HREF du code source des e-mails, tandis que le texte de l’URL affiche le domaine légitime. Il s’agit d’une autre technique utilisée pour tromper les internautes.

Avec l’émergence de l’IA générative, générer une liste de noms de domaines similaires est désormais plus facile. Les escrocs recourent à différentes techniques pour mettre au point leurs attaques par typosquatting : utiliser des algorithmes pour ajouter ou supprimer un tiret (- ou _), ajouter ou supprimer des caractères, ajouter un TLD (domaine de premier niveau) avant un tld, ou utiliser le mauvais tld, remplacer des voyelles, etc.

Exemple d’attaque par typosquatting
Cet e-mail est un exemple typique d’attaque par typosquatting qui vise à tromper les utilisateurs. L’e-mail semble avoir été envoyé par Microsoft, mais le lien « conserver le mot de passe » redirige vers un site malveillant dont l’URL fait penser à Microsoft.
Exemple d’attaque par typosquatting

Autre exemple : des escrocs ont enregistré un nom de domaine quasi identique à celui d’un cabinet comptable canadien (à un caractère près). Soigneusement préparée, cette attaque redirigeait ses victimes vers un site web conçu pour collecter leurs identifiants.

Autres techniques de manipulation d’URL qui constituent une menace

Parallèlement à ces tactiques et aux techniques d’hameçonnage abordées précédemment, les pirates ont souvent recours au raccourcisseurs d’URL ainsi qu’aux attaques « par point d’eau » (« watering hole »). Les raccourcisseurs d’URL peuvent être utilisés pour cacher une URL malveillante derrière une URL courte, lui donnant ainsi un aspect légitime. Souvent, une même URL sera raccourcie plusieurs fois pour éviter la détection.

Les attaques par point d’eau ciblent le même type de victime, à savoir une entreprise ou un groupe d’utilisateurs qui visitent souvent un certain site web. Dans ce cas, il s’agit d’exploiter une vulnérabilité connue pour compromettre le site web en question et utiliser ses liens afin de collecter des identifiants ou d’installer un logiciel malveillant sur les appareils des utilisateurs.

Barracuda Email Protection propose une fonctionnalité de protection des liens pour empêcher les utilisateurs de cliquer sur une URL malveillante. LinkProtect enveloppe chaque lien dans un e-mail qui traverse sa passerelle, et il procède à une analyse chaque fois que l’on clique sur une URL pour déterminer s’il s’agit d’un lien légitime ou malveillant. Alors que Barracuda Email Protection fournit plusieurs niveaux de sécurité (analyse des e-mails avant leur distribution et utilisation de l’apprentissage automatique et de différents modèles statistiques pour déterminer leur degré de légitimité), LinkProtect entre en action lorsque la charge utile derrière une URL a changé après la distribution de l’e-mail pour rediriger vers un emplacement malveillant. En moyenne, LinkProtect traite environ 10 millions de requêtes chaque semaine, et 1 % des liens sont identifiés comme malveillants lors du clic.

Il ne s’agit là que d’exemples d’attaques qui exploitent les URL et qui ne cessent d’évoluer pour devenir de plus en plus sophistiquées. Certaines de ces techniques ont été détaillées lors d’un webinaire de Barracuda, lors duquel nous nous étions également penchés sur plusieurs attaques survenues récemment.

Fleming Shi, notre CTO, ne cesse de le répéter : « les entreprises doivent veiller à bien former leurs employés pour repérer les tentatives d’hameçonnage ». Les solutions de sécurité des e-mails sont indispensables, mais chaque entreprise se doit aussi de bien former ses employés pour assurer sa cybersécurité. 

Rapport : Tendances en matière de spear phishing en 2023
Prebh Dev Singh

Prebh Dev Singh est responsable de la gestion des produits chez Barracuda, et se concentre sur les solutions de protection du courrier électronique.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.