Pour gérer vos consentements :
Categories: LogicielsSécurité

Gmail rejette les noms de domaine utilisant des homoglyphes

Google renforce aujourd’hui les capacités antispam intégrées à sa messagerie électronique Gmail. Ces dernières s’appuient sur une étude des en-têtes et du contenu des messages, permettant ainsi de détecter les missives à caractère publicitaire.

Toutefois, les spammeurs ont plus d’un tour dans leur sac pour déjouer les dispositifs de protection mis en place par Google : insertion volontaire de fautes d’orthographe dans le texte, utilisation d’images ou d’autres fantaisies mettant en œuvre la ponc.tua.tion.

Dernière astuce en date, l’utilisation d’homoglyphes, des caractères dont la forme en rappelle d’autres. Ainsi, il est quasiment impossible de faire la différence entre viagra et viɑgrɑ, si ce n’est que dans la seconde version la lettre a est remplacée par la lettre alpha (‘ɑ’).

Sus aux homoglyphes

Cette technique devient particulièrement dangereuse avec les noms de domaine. Ainsi, un spammeur pourrait être tenté d’utiliser un nom de domaine en Unicode du type www.bɑnkofɑmericɑ.com ou www.ɑmeli.fr. On imagine sans peine les conséquences d’une telle manipulation.

À compter de ce jour, Google a donc décidé de rejeter certains homoglyphes trompeurs. Pour ce faire, la société s’appuie sur le niveau de détection ‘Highly Restrictive’ du consortium Unicode, lequel permet d’éliminer la plupart des risques de mauvaise interprétation d’un texte. Les caractères grecs ou cyrilliques ne pourront par exemple pas être mêlés à des caractères latins.

Seul un type de caractères sera admis dans le nom de domaine. Unique exception, les caractères latins pourront être mélangés avec ceux employés en Chine ou au Japon.

Sur le même thème

Google mise sur le chiffrement pour assurer la sécurité de Gmail

Google crée une passerelle entre les contacts de Gmail et de Google+

Yahoo rejoint Google dans la bataille des e-mails sécurisés

Recent Posts

Cybersécurité : que nous enseigne la vision des hackers éthiques ?

Choix des outils, techniques privilégiées, points sensibles ciblés... Des hackers éthiques ont livré leur vision…

1 jour ago

Bug Bounty : comment YesWeHack se distingue

YesWeHack, plateforme européenne de mise en relation entre hackers éthiques et entreprises, dispose de ressources…

1 jour ago

Grégory Anzel, nouveau CIO chez lesfurets

En provenance de Criteo, le nouveau CIO Grégory Anzel sera membre du comité exécutif.

1 jour ago

Numérique responsable : la profession de foi de l’USF

À l'approche de sa convention annuelle, l'USF (association des utilisateurs SAP francophones) formalise, en une…

1 jour ago

GitHub active les profils privés : quelles options pour commencer ?

Après cinq mois d'expérimentation, GitHub acte la disponibilité générale des « profils privés ». En…

1 jour ago

DevOps et performance : une corrélation évidente selon Google

La dernière édition du rapport annuel de Google sur le DevOps présente des données inattendues…

2 jours ago