La plupart des noms de domaine usurpés sont faciles à détecter. Un simple coup d'œil suffit pour repérer un domaine dupliqué : Amazon.net ou g00gle.com, par exemple. Cependant, il existe un type d'usurpation invisible à l'œil nu : le punycode. Ce dernier permet de rendre un domaine parfaitement identique au domaine original, ce qui peut s'avérer très problématique si votre site est la cible de l'usurpation. Néanmoins, aussi convaincants soient-ils, les punycodes ne sont pas indétectables. La détection d'une attaque par punycode est tout à fait possible grâce à l'automatisation et à une analyse plus approfondie.
Détection des attaques Punycode : les bases
Qu'est-ce que Punycode ?
Punycode n'a pas été créé pour des attaques, mais comme une solution légitime à un problème d'Internet : il s'agit d'un système d'encodage des caractères Unicode qui ne peuvent pas être écrits en ASCII. Introduit en 2003, Punycode visait à internationaliser le système de noms de domaine, exclusivement ASCII, c'est-à-dire qu'il ne reconnaît pas les alphabets non latins comme l'arabe, le grec ou le cyrillique. Punycode convertit ces caractères en un format compatible ASCII commençant par xn--. Lorsqu'un navigateur ou un système rencontre xn--, il sait qu'il doit décoder le Punycode pour reconvertir les caractères Unicode souhaités.
Pourquoi l'appelle-t-on « punycode » ?
Comme beaucoup de termes utilisés en programmation, « Punycode » est un jeu de mots. C'est un calembour sur Unicode, mais aussi une allusion au code lui-même : le jeu de caractères utilisé dans les chaînes encodées est restreint, et ces chaînes sont courtes.
Qu'est-ce qu'une attaque Punycode ?
De nombreux alphabets non latins utilisent des caractères identiques aux lettres latines. Le cyrillique et le grec, par exemple, contiennent des caractères visuellement similaires aux lettres de l'alphabet latin. Lors d'une attaque par punycode, les cybercriminels exploitent ces similitudes pour créer des URL qui ressemblent trait pour trait à des sites web légitimes, mais qui redirigent en réalité vers des sites malveillants.
Pourquoi Punycode Attack Detection est-il un outil important pour les équipes de sécurité ?
Pourquoi est-il important d'être conscient des arnaques liées à Punycode ?
Il existe de nombreuses façons d'usurper un domaine ; le punycode est particulièrement insidieux car, sans une analyse approfondie, l'URL semble légitime. Si vos utilisateurs ne sont pas sensibilisés au punycode, ils sont beaucoup plus susceptibles de tomber dans le piège – et les attaques par usurpation d'identité sont nombreuses. Environ une attaque de phishing sur cinq provient de domaines usurpés, car les cybercriminels espèrent que le domaine similaire donnera l'illusion de légitimité à leur message.
Comment se prémunir contre les attaques Punycode ?
Vous ne pouvez pas empêcher un criminel de falsifier votre domaine, mais vous pouvez lui rendre la tâche plus difficile :
- Enregistrement proactif de domaine : Enregistrez tous les domaines similaires, les domaines internationaux et les fautes d'orthographe courantes de votre marque.
- Surveillance de domaineUtilisez des outils de surveillance de domaine pour détecter les nouveaux domaines similaires enregistrés.
- Utilisez DMARC, SPF et DKIM : DMARC, SPF et DKIM sont des protocoles d'authentification de courriel qui vérifient le domaine ou l'adresse IP à partir desquels le courriel a été envoyé.
- Formation des utilisateurs : Apprenez aux utilisateurs à rechercher le symbole xn- – avant de cliquer.
- Renseignements sur les menaces : Utilisez des plateformes de sécurité qui analysent les domaines usurpés.
Comment détecter une attaque Punycode ?
La détection précoce est essentielle pour atténuer les risques liés aux attaques par Punycode, mais l'analyse manuelle d'Internet à la recherche de sites potentiellement usurpés n'est pas une solution envisageable pour la plupart des équipes. En revanche, l'utilisation d'une solution automatisée pour détecter les domaines malveillants et leurs équivalents permettra à votre équipe de repérer rapidement les activités suspectes et de supprimer les domaines usurpés avant qu'ils ne nuisent à votre marque, à vos clients ou à votre réputation. Les plateformes automatisées peuvent également surveiller les forums et les réseaux sociaux où se rassemblent les cybercriminels. La surveillance des échanges entre pirates informatiques vous permet de savoir si votre domaine, vos actifs numériques ou votre marque ont été compromis. Cette approche proactive de la cybersécurité vous donne les moyens d'agir avant que les dégâts ne s'aggravent.
Comment Flare contribue-t-il à la détection des attaques Punycode ?
Que faire si votre site a été falsifié ?
Les attaques Punycode sont une forme d'usurpation d'identité. Si votre site est victime d'usurpation, il est primordial de faire fermer le domaine frauduleux au plus vite. Cela implique de détecter les sites usurpés dès leur mise en ligne, mais la recherche manuelle de domaines usurpés est au mieux impraticable, au pire impossible. C'est là que l'automatisation intervient. La plateforme CTEM (Continuous Threat Exposure Management) de Flare permet à votre équipe de détecter et de supprimer les sites frauduleux. répondre aux domaines similaires en analysant automatiquement les domaines malveillants, en informant votre équipe dès qu'un domaine est détecté et en lançant une procédure de suppression du domaine.
Quels sont les avantages du service de détection des attaques Punycode de Flare ?
- Numérisation et évaluation automatisées : Flare analyse le web en permanence à la recherche d'informations volées, copiées ou divulguées. Si des informations de votre site apparaissent sur un site dupliqué, Flare en informera votre équipe.
- Neutralisations autonomes illimitées : Flare simplifie le processus de demande et de surveillance des fermetures de sites usurpés, afin que votre équipe n'ait plus à effectuer un suivi manuel.
- Notifications pertinentes : Votre équipe souffre probablement de saturation d'alertes. Flare vous notifie uniquement lorsqu'une menace concerne votre organisation et vos données.
Comment fonctionne la fermeture d'un domaine ?
Il n'y a qu'une seule façon de supprimer un domaine malveillantVotre équipe doit le localiser, le vérifier, le signaler et demander la fermeture du site frauduleux. Selon le domaine et votre localisation, vous devrez peut-être le signaler à l'un des organismes suivants :
- Application de la loi
- Le registraire de domaine concerné
- L'hébergeur
Après avoir effectué votre demande, votre équipe devra surveiller le site pour s'assurer qu'il est effectivement supprimé, et effectuer un suivi si ce n'est pas le cas.
Détection et avertissement des attaques Punycode
La fusée Gestion de l'exposition aux menaces (TEM) Flare permet aux organisations de détecter, prioriser et atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7, afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des informations exploitables immédiatement pour renforcer la sécurité. Protégez vos données et vos utilisateurs des attaques par punycode grâce à Flare.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
