Je suis Charlie

Autres trucs

Accueil

Seulement les RFC

Seulement les fiches de lecture

Mon livre « Cyberstructure »

Ève

Le hameçonnage n'a pas de rapport avec les IDN

Première rédaction de cet article le 3 novembre 2009


L'annonce par l'ICANN, le 30 octobre, de la possibilité d'avoir bientôt des IDN dans la racine, c'est-à-dire des domaines de tête en Unicode, a suscité la marée attendue de réactions provinciales et étroites de tous ceux qui regrettent qu'on ne puisse pas forcer ces insupportables chinois ou russes à utiliser la même écriture que nous. Un record dans ce domaine a été établi par l'ultra-nostalgique « ICANN Approves Domain Names We Can't Type ». Un des arguments avancés, très classique mais complètement faux, serait que les IDN favorisent le hameçonnage. Qu'en est-il ?

L'argument est que IDN permet des noms de domaine homographes, c'est-à-dire qui s'écrivent de manière visuellement identique (ou très proche). On risque alors de ne pas pouvoir distinguer PAYPAL.com et PΑYPAL.com (dans le second, il y a un alpha grec).

Les homographes existent bien, et ils n'ont pas attendu les IDN. Par exemple, google.com et goog1e.com sont quasi-homographes (regardez bien). Unicode multiplie leur nombre car les écritures humaines n'ont pas été conçues par des technocrates rationnels mais sont issues d'une longue évolution distribuée sur toute la planète. Unicode est donc complexe, car le monde est complexe.

Mais le problème n'est pas dans l'existence d'homographes. Il est dans le fait que ce problème n'a rien à voir avec le hameçonnage. Je reçois beaucoup de rapports de hameçonnage au bureau et aucun ne dépend jamais d'homographes. La plupart du temps, le hameçonneur ne fait aucun effort pour que l'URL soit vraisemblable : il utilise un nom comme durand.monfai.net, voire une adresse IP. Et pour cause, très peu d'utilisateurs vérifient la barre d'adresse de leur navigateur, ne serait-ce que parce qu'ils ne comprennent pas ce qu'elle contient et qu'ils n'ont eu aucune formation sur les noms de domaines. Le hameçonneur, escroc rationnel, ne se fatigue donc pas.

Parfois, il faut quand même un petit effort. On voit des noms comme secure-societegenerale.com pour tromper sur societegenerale.com. À part les spécialistes du DNS, qui comprennent sa nature arborescente et le rôle de chaque label du nom, qui verra que secure-societegenerale.com n'a aucun rapport avec societegenerale.com ?

Si vous ne faites pas confiance à mon vécu, regardez les nombreux articles de psychologie qui ont été consacrés au hameçonnage. Comme cette activité coûte cher aux banques, de nombreuses études scientifiques ont été faites pour mieux comprendre ce phénomène et pourquoi les utilisateurs se font avoir. Toutes concluent que le nom de domaine ne joue aucun rôle (et que donc l'argument d'homographie contre les IDN est du FUD). Voici une petite bibliographie (avec mes remerciements à Mike Beltzner de Mozilla) :

On peut aussi citer, sur une problématique proche, « So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users » de Cormac Herley, dont la section 4 parle de l'analyse d'URL. Et le rapport 2010 de l'Anti-Phishing Working Group dont la page 16 parle des IDN.

Mais, si toutes les études scientifiques montrent qu'il n'y a pas de connexion entre IDN et hameçonnage, pourquoi trouve t-on tant d'articles faisant ce lien ? La principale raison est l'ignorance : les journalistes ne connaissent pas leur sujet, ne cherchent pas (pas le temps) et se recopient donc les uns les autres, sans questionner l'« information » originale. Ce phénomène n'est d'ailleurs pas réservé aux journalistes professionnels et s'étend aux blogueurs, aux twitteurs, etc.

Mais il y a une autre raison : beaucoup, parmi les « élites mondialisées », qui parlent anglais, regrettent, plus ou moins explicitement, qu'il ne soit pas possible de faire rentrer toutes les langues humaines dans le lit de Procuste d'une seule langue. Les vagues accusations d'hameçonnage contre les IDN, jamais étayées, ne sont donc que l'expression en douceur de leur refus de l'internationalisation.

Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)

Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)