Les pirates peuvent cacher une page entière dans un lien

**Hinault Romaric** · 04/09/2012, 16h34

Les pirates peuvent cacher une page entière dans un lien
une méthode de phishing via URI fonctionnant sur Firefox et Opera détaillée

L’hameçonnage, une technique utilisée par des pirates pour obtenir les informations personnelles des internautes pour usurper leur identité, pourrait se faire sans avoir recours à un site de phishing.

Selon un rapport de recherche d’Henning Klevjer, un étudiant en sécurité informatique de l’université d’Oslo en Norvège, les pirates peuvent effectuer des attaques par phishing en intégrant le code complet d’une page Web dans un URI.

Un URI (Uniform Resource Identifier) est une chaine de caractères identifiant une ressource sur un réseau. Une de ses implémentations est l’URL. Cependant, alors que les URL permettent de spécifier l'emplacement d'une ressource réseau et comment y accéder, les URI sont plus souples et peuvent même être utilisés pour héberger les données.

Concrètement, un pirate pourrait par exemple créer une page Web autonome de phishing en utilisant des images et contenus provenant d’un site légitime, qui sera par la suite encodée en Base64 pour masquer son sens et ajoutée à un URI.

L’URI codé ainsi pourra par la suite être raccourci par un réducteur d’URL et distribué sur les réseaux sociaux. Au clic d’un de ces liens, l’URI codé sera rendu par tout navigateur moderne comme une page Web.

Plutôt que de créer une page malveillante qui sera probablement détectée et bloquée par le navigateur ou un antivirus, un pirate pourrait donc simplement s’orienter vers la création d’un URI louche qui sera distribué via réseaux sociaux, messagerie et autres.

À titre d’exemple, Klevjer a procédé à la conception d’un URI de phishing de 24 682 caractères, qui a été raccourci en seulement 26 caractères et a été exécuté avec succès sur Firefox et Opera. Le test a échoué sur Internet Explorer et Chrome parce que ces navigateurs ont des limites sur la quantité de données pouvant être emballée dans un URI.

Dans son rapport, Klevjer recommande de faire attention aux URL raccourcies assez fréquentes sur Facebook, Twitter et autres réseaux sociaux.

Il faut noter que les données URI peuvent également contenir un applet Java malveillant.

Source : Le rapport d’Henning Klevjer (au format PDF)

Et vous ?

Qu'en pensez-vous ?

**Watilin** · 04/09/2012, 17h25

Je suis bien d'accord ! J'ai jamais aimé les URL courtes, et j'utilise un addon Firefox pour les « dé-raccourcir » automatiquement : https://addons.mozilla.org/fr/firefo...-url-expander/

**Zefling** · 04/09/2012, 17h57

Je suis surtout étonné que ce ne soit découvert que maintenant, parce que le « data: » ça sert depuis des années pour générer du HTML ou des images sans faire d'appel extérieur. Le truc c'est que ça donne toujours un truc bizarre dans la barre d'adresse, et ce n'est pas raccourcir le lien qui l'empêchera de s'afficher.

Par contre je suis surpris que l'URI ne soit pas plus mise en évidence quand il s'agit de donnée.

Pour la limite des URL :
- IE : 2 083
- Firefox : 65 536
- Safari : > 90 000
- Opera : > 190 000
- Chrome : ~4 000

**Crazyfaboo** · 04/09/2012, 20h01

Envoyé par Zefling

Pour la limite des URL :
- IE : 2 083
- Firefox : 65 536
- Safari : > 90 000
- Opera : > 190 000
- Chrome : ~4 000

T'as trouvé cette info où ?
Elle est bizarre la limite d'IE…

**Zefling** · 05/09/2012, 00h33

Envoyé par Crazyfaboo

T'as trouvé cette info où ?
Elle est bizarre la limite d'IE…

J'avais cherché cette info parce que pour un projet on avait un problème du à la limite du GET d'IE. En gros le système de paiement marchait partout sauf sous IE parce que l'URL était trop longue quelques octets... Du coup, grâce à IE on a du réduire la sécurité. C'était un cas où l'on ne pouvait pas passer l'info en POST sinon ça aurait plus simple.

**Carhiboux** · 05/09/2012, 09h18

Même si la page est "cachée" dans l'URI, il faut toujours cliquer sur le lien, et rentrer ses coordonnées pour que le hameçonnage soit complet.

Donc tant que l'utilisateur fait attention à ce qu'il fait, il ne cours pas plus de risque qu'avec les tentatives de phishing actuelle, si ce n'est que son navigateur ne lui signalera pas que le site est louche.

**Népomucène** · 05/09/2012, 10h37

grâce à IE on a du réduire la sécurité

j'aime bien l'expression

**MicroAlexx** · 05/09/2012, 17h58

Envoyé par Carhiboux

Même si la page est "cachée" dans l'URI, il faut toujours cliquer sur le lien, et rentrer ses coordonnées pour que le hameçonnage soit complet.

Donc tant que l'utilisateur fait attention à ce qu'il fait, il ne cours pas plus de risque qu'avec les tentatives de phishing actuelle, si ce n'est que son navigateur ne lui signalera pas que le site est louche.

Pas forcement, en "jouant" avec les mots de passe sauvegardé, et un peu de javascript, il est assez "facile" de récupérer les données pré-remplis par le navigateur dans le faux formulaire.
Je suis tombé sur une PoC il y a pas longtemps mais je n'arrive plus à mettre la main dessus ..

**matios** · 05/09/2012, 12h30

Solution : Pourquoi les navigateurs n'ignorent t-ils pas les urls vaec le mot data:text/html dasn les balises a ??

**Zefling** · 05/09/2012, 13h56

Envoyé par matios

Solution : Pourquoi les navigateurs n'ignorent t-ils pas les urls vaec le mot data:text/html dasn les balises a ??

Si c'est pas a ça peut être : location en JS. Le problème c'est qu'à la base le web est super permissif et n'a jamais été pensé pour ce que l'on en fait maintenant.

**gangsoleil** · 05/09/2012, 15h24

Si on combine le tinyurl du data:text/html avec l'UTF8 dans la barre d'adresse, on se dit que le phishing a de beaux jours devant lui.

**Pelote2012** · 06/09/2012, 09h05

Ce qui me fait peur à chaque ruse de sioux qu'on rend publique c'est combien sont encre cachées.
Puis on crée un programme, un OS ... il y a 400000 failles qu'on divulgue petit à petit, qu'on corrige (ou pas ) petit à petit. Puis on refait une nouvelle version et c'est reparti mon kiki...
Serait-on condamné à utiliser des passoires ...

**if_zen** · 07/09/2012, 00h23

Chrome semble averti du problème. En cliquant sur ton tiny-url, j'accède bien au lien data, mais je suis expédié :
Erreur 311 (net::ERR_UNSAFE_REDIRECT) : Erreur inconnue

En revanche, mon FF14 ne m'avertit de rien

**azias** · 10/09/2012, 09h28

Je ne trouve pas, a priori, que cette technique puisse entraîner des risques de sécurité (au sens informatique) supplémentaires. Que le contenu de la page web provienne de l'URI ou d'un serveur web ça n'a pas l'air de changer quoi que ce soit sur ce qu'il est possible de faire ou non. Ça évite sans doute d'avoir à ouvrir un serveur web et acheter un nom de de domaine sous un nom d'emprunt mais je ne pense pas que ce soit le genre de chose qui dérange beaucoup les auteurs de phishing.

Au contraire, cette technique donne une URI dans la barre d'adresse qui ne ressemble à rien (même si on est passé par un réducteur d'URL).

Cela dit c'est très amusant! Je ne connaissais pas et je sens que je vais m'amuser un peu avec ça cette semaine, à moins que j'en trouve une utilisation intelligente.

Pour quel type d'utilisation est-ce prévu à la base?

**PascalKOTTE** · 13/01/2016, 11h04

Pourquoi mettre en cause Firefox et Opera uniquement ? Alors que cela touche tous les Browser !

Cette vulnérabilité ne touche pas que les 2 navigateurs cités
http://www.clubic.com/antivirus-secu...fox-opera.html