Les protocoles sécurisés débusquent les sites malveillants

Par 25 septembre 2009

Les services web frauduleux utilisent peu ou mal les protocoles de communication sécurisés. Repérer ces différences facilite leur identification.

A l’automne 2008, les laboratoires de McAfee Avert ont identifié plus de quatre vingt mille noms de domaines typosquattés*, en s’intéressant aux deux mille sites les plus populaires. Une équipe de chercheurs de l’université d’Irvine (Californie) se propose de résoudre le problème en identifiant la légitimité d'un site à partir des protocoles de transfert sécurisés. Les auteurs ont comparé les protocoles TLS (anciennement SSL) utilisés par les sites officiels et ceux des services frauduleux. Résultat : il existe des différences notables entre les deux qui permettent de les distinguer. 
Un outil pour identifier les sites frauduleux
Ils ont repéré que l’utilisation de certificats copiés depuis un site ayant pignon sur rue est fréquente chez les sites frauduleux. L’objectif étant de mettre en confiance le visiteur en affichant un symbole de sécurité familier en bas de page. Il n’est cependant pas possible de ne se reposer que sur ce seul critère, certains sites officiels faisant preuve de laxisme quand à l’utilisation ou à la mise à jour de leurs certificats. L'autre moyen de les distinguer est alors tout simplement de mettre de côté les sites qui n'ont pas recours à des protocoles de transfert sécurisés. Selon les auteurs, seuls 30 % des sites frauduleux y ont recours.
Une pratique qui coûte cher
Mais ce chiffre est en constante augmentation : pour rassurer les visiteurs qu’ils espèrent berner, les sites frauduleux sont obligés de les adopter à leur tour. Les typosquatteurs parient sur la probabilité qu’un internaute fasse une faute de frappe ou d’orthographe en rentrant le nom d’un site web dans son navigateur. Pour des sites très visités cela peut représenter un trafic important. La plupart du temps inoffensif, il arrive cependant que le typosquatting soit combiné avec des techniques d’hameçonnage. En se faisant passer pour l’institution dont elles imitent le nom de domaine, les possesseurs du site peuvent récupérer des informations sensibles. Les auteurs affirment qu’en 2007 3 milliards de dollars ont été perdus suite à des attaques de ce type.
* Le typosquattage est l’utilisation à des fins frauduleuses d’un nom de domaine proche de celui d’une marque ou d’une institution connue. C’est une activité illégale dans certains pays.

Mentions légales © L’Atelier BNP Paribas