w6ormbwu

Rester vigilant sur le Web est votre meilleure protection contre les liens piratés. GaduLab/Shutterstock

Nos dernières recherches ont révélé que les liens cliquables sur les sites Web peuvent souvent être redirigés vers des destinations malveillantes. Nous appelons cela des « hyperliens piratables » et nous en avons trouvé par millions sur l’ensemble du Web, y compris sur des sites Web de confiance.

Notre papier, publié lors de la Web Conference 2024, montre que les menaces de cybersécurité sur le Web peuvent être exploitées à une échelle bien plus grande qu'on ne le pensait auparavant.

Il est inquiétant de constater que nous avons trouvé ces hyperliens piratables sur les sites Web de grandes entreprises, d’organisations religieuses, de sociétés financières et même de gouvernements. Les hyperliens de ces sites Web peuvent être détournés sans déclencher d’alarme. Seuls les utilisateurs vigilants – certains diront paranoïaques – éviteraient de tomber dans ces pièges.

Si nous avons pu détecter ces vulnérabilités sur le Web, d’autres le peuvent aussi. Voici ce que vous devez savoir.

Que sont les hyperliens piratables ?

Si vous faites une faute de frappe en saisissant l'adresse Web de votre banque, vous pourriez accidentellement vous retrouver sur un site de phishing, un site qui usurpe l'identité du site Web de votre banque pour voler vos informations personnelles.

graphique d'abonnement intérieur

Si vous êtes pressé et n'inspectez pas le site Web de près, vous risquez de saisir des informations personnelles sensibles et de payer un prix élevé pour votre erreur. Cela pourrait inclure le vol d'identité, la compromission de compte ou une perte financière.

Quelque chose d'encore plus dangereux se produit lorsque les programmeurs saisissent mal les adresses Web dans leur code. Il est possible que leur faute de frappe dirige les utilisateurs vers un domaine Internet qui n'a jamais été acheté. Nous appelons ces domaines fantômes.

Par exemple, un programmeur créant un lien vers theconversation.com pourrait accidentellement créer un lien vers tehconversation.com – notez la faute d’orthographe. Si le domaine mal saisi n'a jamais été acheté, quelqu'un pourrait venir acheter ce domaine fantôme pour environ 10 $ AU, détournant ainsi le trafic entrant. Dans ces cas-là, le prix des erreurs des programmeurs est payé par les utilisateurs.

Ces erreurs de liaison des programmeurs ne risquent pas seulement de diriger les utilisateurs vers des sites de phishing ou d'usurpation d'identité. Le trafic détourné peut être dirigé vers toute une série de pièges, notamment scripts malveillants, la désinformation, les contenus offensants, les virus et tout autre piratage que l'avenir apportera.

Plus d'un demi-million de domaines fantômes

À l’aide de clusters de calcul haute performance, nous avons traité l’ensemble du Web navigable pour détecter ces vulnérabilités. À une échelle jamais vue dans la recherche, nous avons analysé au total plus de 10,000 XNUMX données de disques durs.

Ce faisant, nous avons trouvé plus de 572,000 XNUMX domaines fantômes. Les hyperliens piratables dirigeant les utilisateurs vers ces sites ont été trouvés sur de nombreux sites Web de confiance. Ironiquement, cela incluait même des logiciels Web conçus pour faire respecter la législation sur la protection de la vie privée sur les sites Web.

Nous avons étudié les erreurs à l'origine de ces vulnérabilités et les avons classées. La plupart étaient dues à des fautes de frappe dans les hyperliens, mais nous avons également découvert un autre type de vulnérabilité générée par les programmeurs : les domaines réservés.

Lorsque les programmeurs développent un site Web qui n'a pas encore de domaine spécifique, ils saisissent souvent des liens vers un domaine fantôme dans l'espoir que les liens seront corrigés ultérieurement.

Nous avons constaté que cela était courant avec les modèles de conception de sites Web, dans lesquels les composants esthétiques d'un site Web sont achetés auprès d'un autre programmeur plutôt que développés en interne. Lorsque le modèle de conception est installé ultérieurement sur un site Web, les domaines fantômes ne sont souvent pas mis à jour, ce qui rend les liens vers ceux-ci piratables.

Pour déterminer si les hyperliens piratables pouvaient être exploités dans la pratique, nous avons acheté 51 des domaines fantômes vers lesquels ils pointent et observé passivement le trafic entrant. À partir de là, nous avons détecté un trafic important provenant des liens détournés. Par rapport aux nouveaux domaines similaires dépourvus de liens piratés, 88 % de nos domaines fantômes ont généré plus de trafic, avec jusqu'à dix fois plus de visiteurs.

Ce qui peut être fait?

Pour les internautes moyens, la sensibilisation est essentielle. Les liens ne sont pas fiables. Soyez vigilant.

Pour les responsables des entreprises et de leurs sites internet, nous proposons plusieurs contre-mesures techniques. La solution la plus simple consiste pour les opérateurs de sites Web à « explorer » leurs sites Web à la recherche de liens rompus. D’innombrables outils gratuits sont disponibles pour ce faire. Si des liens rompus sont détectés, corrigez-les avant qu’ils ne soient piratés.

Nous, le Web

Le scientifique britannique Sir Tim Berners-Lee a proposé pour la première fois le Web au CERN en 1989. Dans sa première description – toujours largement disponible sur le Web comme témoignage de lui-même – il y a une section intitulée « non-exigences », où la sécurité est abordée. Cette section comprend la phrase fatidique :

[La sécurité des données est] d'une importance secondaire au CERN, où l'échange d'informations est encore plus important.

Même si c'était le cas du CERN en 1989, le Web est aujourd'hui le principal moyen d'échange d'informations de l'ère moderne.

Nous en sommes venus à considérer le Web comme un composant externe de notre propre cerveau. En témoigne la popularité de grands modèles de langage comme ChatGPT, eux-mêmes formés à partir de données provenant du Web.

À mesure que notre dépendance s’approfondit, il est peut-être temps de reclasser mentalement la sécurité des données Web de « non-exigences » à « exigences importantes ».The Conversation

Kévin Saric, Informaticien & Ingénieur Mécatronique, CSIRO

Cet article est republié de The Conversation sous une licence Creative Commons. Lis le article original.