Lilapuce
 

supports (mercredi 20 mars 2019)

Voir URL et TLD pour se protéger

Pourquoi faut-il regarder les URL ?

Il est extrêmement facile de faire un faux site en reproduisant à l’identique tous les éléments visuels d’un vrai site.

Par contre il est beaucoup plus difficile de tricher sur le nom de domaine qui est affiché dans l’adresse de site web (URL).

En conséquence, pour vous protéger des risques de manipulation de type phishing, j’aurais tendance à vous conseiller de porter en priorité votre regard sur les adresses de sites web qui vous sont proposés, plutôt que de cliquer de façon impulsive sur le premier lien hypertexte venu.

Prenez l’habitude d’observer les adresses de sites web qui s’affichent dans la barre d’adresse du navigateur !

Habituez-vous à vérifier la barre d’état du navigateur ou du client de messagerie, lorsque vous pointez un lien hypertexte !

Ainsi vous apprendrez très simplement la première technique de base permettant de vous protéger contre les tentatives malveillantes qui reposent uniquement sur la méconnaissance de l’utilisateur.

Toute URL comportant forcément un nom de domaine, le but du jeux consiste donc à distinguer exactement la partie de l’URL qui correspond au domaine et celle qui ne correspond pas au domaine.

Pour cela, vous ne pouvez pas seulement vous fier à ce qui est inscrit : ce n’est pas parce que vous lisez le nom d’une entreprise dans l’URL que ce la signifie qu’il s’agit du nom de domaine de l’entreprise !

Cet exemple, ci-dessous, est une illustration de la problématique. Il s’agit d’un mail reçu se faisant passer pour la Banque Accord.

Le lien qui m’était proposé dans un message électronique, pointait vers une URL que j’ai pu vérifier dans la barre d’état de mon client de messagerie en pointant le lien sans cliquer (voir le tuto ).

L’URL affichée dans la barre d’état (zone grise, en bas de l’image), indique le mot « accord », en première position ; mais c’est une tromperie. Il ne s’agit nullement de la banque Accord !

Un autre exemple, que j’ai mis sur le tuto concernant le phishing. :

On pourrait croire qu’il s’agit du site de Paypal, car dans l’URL figure bien le mot « paypal », mais, là non plus, ce n’est pas le cas.

Je reviendrai tout à l’heure, de façon détaillée, pour expliquer ce qui permet de voir qu’il s’agit d’un faux.

Le nom de domaine en noir

Petit rappel important : sur la plupart des navigateurs - dont Firefox - le nom de domaine est toujours affiché en noir dans la barre d’adresse :

Déduction logique : tout ce qui n’est pas noir - mais gris - n’est pas le domaine.

Ci-dessus, par exemple, les caractères en gris indiquent soit le protocole (https://) soit un contenu particulier (/Prise-en-main...) qui est stocké dans le domaine.

Cela ne signifie pas que ce qui est gris est forcément délictueux mais si vous le savez, cela devrait vous aider à construire votre propre outil de détection contre le phishing.

Si, dans une URL, vous voyez un mot qui ressemble à un nom de service ou d’entreprise qui est censé correspondre à la page web mais que ce mot est gris et, qu’en plus le domaine (donc noir) ne comporte pas ce nom, alors il est plus que probable que vous avez affaire à un phishing.

Dans le doute, aidez-vous toujours de cette règle basique : le domaine est toujours écrit en noir et le reste de l’URL est gris.

Pour votre culture générale, je vous recommande toutefois d’apprendre les quelques repères techniques qui vous permettront d’identifier du premier coup d’œil où se trouve le domaine dans une URL.

Le TLD

Le premier réflexe pour savoir à quelle partie de l’URL correspond le nom de domaine consiste à identifier le « domaine de premier niveau », autrement appelé Top level domain (TLD) (voir l’article de wikipédia).

Prenons l’exemple du nom de domaine « lilapuce.net »

Comme tous les noms de domaine, il se compose :

- d’un mot personnalisé : « lilapuce »

- d’un domaine de premier niveau, autrement appelé TLD : « .net ».

Vous savez désormais que tous les noms de domaines sont donc obligatoirement rattachés à un TLD.

La petite précision annexe vous est proposée, car, en atelier, on me pose toujours, à ce moment précis, la question suivante :comment ça se passe, pour avoir un domaine ? (donc c’est qu’il doit y avoir un rapport !) : L’achat d’un nom de domaine se fait auprès de prestataires habilités à vendre des noms de domaines sur le web. Si vous souhaitez acheter un domaine (par exemple pour faire un site web) il faut que vous sachiez, qu’à peu de choses près, c’est comme dans le métro : le premier arrivé prend la place et, tant que le domaine est occupé, vous n’y aurez pas accès (sauf si vous portez le nom d’une entreprise puissante qui saura chasser de son territoire tout éventuel « squatter »).

L’administration technique de l’ensemble des noms de domaines est gérée par une forme d’organisation partagée mais centralisée : le système de nom de domaine (DNS) (voir l’article de Wikipédia).

L’aspect centralisé du DNS permet de répertorier tous les domaines existants et empêche, par exemple, qu’un même nom de domaine puisse être utilisé par deux propriétaires différents.

C’est le DNS qui établit la relation entre tel nom de domaine, tapé dans la barre d’adresse du navigateur, et tel serveur web correspondant à ce domaine (le transport et l’affichage du contenu stocké sur ce serveur est géré par une autre procédure technique que le DNS).

Par conséquent, sauf si le site est piraté (ce qui est quand même assez rare pour des administrations ou des grosses entreprises) et tant que le système lui-même n’est pas compromis à une échelle de masse, l’identification du nom de domaine dans l’URL reste la solution la plus fiable pour vous prémunir de toute tentative de phishing.

Ce que nous avons vu tout à l’heure, notamment autour des exemples Accord et Paypal vaut également pour le TLD : il ne suffit pas de voir, dans une URL, une suite de caractère pouvant ressembler à un TLD pour en déduire qu’il s’agit réellement d’un TLD.

Une partie des phishing reposent sur cette confusion : voyant dans l’URL qu’il y a une suite de caractère .com ou .fr, éventuellement précédée d’un nom d’entreprise, certaines personnes pourront se laisser abuser en déduisant qu’il s’agit d’un TLD or ce n’est pas forcément le cas !

On ne reconnaît pas un TLD par les caractères mais par la position qu’il occupe dans l’URL.

Voici une règle simple que je vous propose de systématiquement vérifier : dans une adresse, le TLD du nom de domaine est toujours placé entre un signe point (.) et un signe slash (/).

Ci-dessus le TLD est donc « .org  ».

S’il n’y a aucun signe slash (/) dans l’URL, alors le TLD sera toujours placé après le dernier point (à droite) dans l’URL.

Ci-dessus le TLD est donc « .edu ».
La syntaxe d’un nom de domaine est soumise à des règles strictes. Parmi ces règles, par exemple, il en existe une qui n’a qu’un rapport assez éloigné avec notre sujet mais qu’il est utile de rappeler : vous ne trouverez jamais d’espace dans un nom de domaine.

Mais la règle la plus importante concerne le rôle joué par le signe point (.) dans le nom de domaine et, par conséquent, dans l’URL.

Le signe point (.) dans une URL

Si vous achetez un nom de domaine vous constaterez qu’il est impossible de proposer un nom personnalisé contenant le signe point (.)

La raison de cette restriction tient tout simplement au fait que le signe point (.) remplit un rôle très particulier dans la syntaxe de L’URL.

Dans la partie de l’URL comprise entre le protocole (http:// ou http://www.) et le slash (/), le signe point (.) permet toujours de séparer les domaines des sous-domaines.

Observez, par exemple l’URL :

Le premier point, en partant de la gauche, sert à créer un sous-domaine francophone - fr - dans l’encyclopédie Wikipédia, dont le nom de domaine est wikipedia.org.

Dans ce cas, le « .fr » n’est donc pas le TLD que l’on trouve à la fin, par exemple, du site de ameli.fr :

Le « .fr » de Wikipédia a été créé sur le serveur de Wikipédia. Il n’a aucun rapport avec le TLD.

Je rappelle que le TLD auquel est rattaché Wikipédia est « .org » :

Les administrateurs de Wikipédia ont repris par convention la même dénomination géographique pour leur encyclopédie que celle ayant cours pour la gestion des TLD.

En fait, il sauraient très bien pu créer un sous-domaine qu’ils auraient appelé « france » et y placer exactement le même contenu.

Ce sous-domaine « .fr » de Wikipédia, contrairement au TLD « .fr » n’est donc en aucun cas référencé par le DNS. Le sous-domaine ne concerne que l’organisation interne du site.

Précision importante : il tout à fait est possible techniquement de créer plusieurs sous domaines qui s’emboîtent les uns dans les autres.

Ainsi dans l’adresse suivant, qui n’est pas une tromperie :

« textes » est un sous-domaine de « justice » qui est un sous-domaine de « gouv », ce dernier étant rattaché au domaine de premier niveau « fr ».

En fait, le domaine « .gouv » est un domaine de second niveau, particulier, réservé aux gouvernements (voir l’article de wikipédia).

Cette particularité explique que le sous-domaine de « .gouv » s’affiche en noir dans la barre d’adresse (« justice ») mais, hormis ce détail, le principe des sous-domaines emboîtés les uns dans les autres est parfaitement illustré avec cet exemple : vous constatez que - de la gauche vers la droite, jusqu’au TLD - chaque sous-domaine est séparé du niveau supérieur, par un signe point (.)

Par conséquent, il n’y a absolument aucune restriction empêchant n’importe quel quidam de créer deux sous-domaines qui, une fois emboîtés l’un dans l’autre, s’afficheraient dans la barre d’adresse avec exactement les mêmes caractères que ceux d’un vrai nom de domaine d’une entreprise ou d’une administration.

Sauf que, si on retient que le TLD se trouve toujours placé entre un signe point (.) et un signe slash (/), et qu’on a compris que le domaine s’affiche toujours en noir dans la barre d’adresse du navigateur on ne se laissera jamais tromper par une ruse aussi grossière !

TLD personnalisés

Il est désormais possible de créer des TLD personnalisés (voir l’article de wikipédia)

Cette évolution est, de mon point de vue, une catastrophe d’un point de vue de la sécurité.

Le fait que les TLD soient normalisés avec des abréviations simples, correspondant soit à des secteurs d’activité (com, net, org, info, biz, tv...), soit à des localisation géographiques (fr, it, de...) permettait de faciliter l’identification du TLD et donc de déjouer plus facilement les tentatives frauduleuses.

En cas de doute, il suffisait, tenant compte de ce que nous venons de voir, de lancer une procédure logique élémentaire se décomposant en deux étapes :

- repérer à quel endroit de l’URL se trouve un mot qui ressemble à un TLD

- vérifier, ensuite, s’il s’agit bien d’un TLD, en fonction de son emplacement dans l’URL et du nombre de points que cette dernière contient.

Avec la personnalisation des TLD on perd la facilité de la première étape de la procédure.

Malheureusement, il semble que la marchandisation du web impose ses propres règles au détriment de l’accessibilité, de l’autonomie et de l’auto-apprentissage.

Petite précision : la possibilité de créer un TLD personnalisé ne sera pas ouverte à madame ou monsieur tout-le-monde. L’affaire coûte quand même 185 000 $.

Exit cariatides, dorures et autres ornements. L’expression désuète de la puissance et du pouvoir par l’érection de façades luxueuses, implantées au cœur des métropoles n’est plus d’actualité.

L’ancrage de la virtualisation financière dans la matérialité du monde se doit d’évoluer.

La mégalomanie s’exprime désormais sur le web par l’acquisition d’un domaine de premier niveau personnalisé :

Le protocole https

Contrairement à une idée répandue, le protocole https, accompagné du fameux cadenas vert, ne permet en rien de garantir que le site affiché est fiable et sécurisé.

Le protocole https n’est qu’une implémentation technique permettant de coder l’information qui transite entre votre ordinateur et le serveur, en sorte que, si les données étaient interceptées sur le réseau, elles ne soient pas directement accessibles. Rien à voir avec la protection contre le phishing.

Le protocole https est une condition de base du web moderne, rien de plus.

Par exemple il faut éviter de faire un achat en ligne si vous vous rendez compte que la boutique en ligne vous demande d’envoyer vos informations bancaires alors que le protocole https ne s’affiche pas dans la barre d’adresse.

Mais retenez que l’affichage du protocole https n’est pas suffisant pour vous mettre en confiance : rien n’empêche les escrocs de l’utiliser pour vous demander d’indiquer vos données confidentielles de connexion sur un site contrefait !

Le problème des appareils à écran tactiles

Enfin, je rappelle que les surface tactiles des smartphones et des tablettes ne permettent pas de pointer les liens hypertextes pour vérifier les URL avant activation.

Cela signifie qu’avec ce type de matériel il vous est impossible de mettre en application une grande partie des conseils formulés dans le présent tuto.

D’après certaines études, l’usage du smartphone remplace peu à peu celui de l’ordinateur pour se connecter à Internet.

On comprend très bien que cette information comble de satisfaction les opérateurs, les fabricants, les régies publicitaires et les réseaux sociaux mais je ne suis pas sûr que, d’un strict point de vue de sécurité, la tendance représente un progrès.

En attendant, faites attention à la lecture de vos mails sur ces matériels. Dans le doute, ne tapez pas sur les liens lorsque vous lisez vos mails depuis votre smartphone.