Comment les pirates exploitent Unicode pour bidouiller les noms de fichiers

Par:
fredericmazue

ven, 09/09/2011 - 14:14

L'éditeur AVAST a publié un rapport indiquant l'arrivée d'une nouvelle vague de mails malveillants qui utilisent habilement UTF-8 pour tromper les internautes en leur faisant croire qu'ils reçoivent en pièces attachées des fichiers inoffensifs.

L'idée est de montrer un nom de fichier trafiqué, et table sur le fait que les utilisateurs se fient trop aveuglément à la seule extension d'un nom de fichier. Un utilisateur peut ainsi penser recevoir une image s'il voit un nom de fichier avec une extension .jpg, alors qu'en fait il s'agit de tout autre chose.

Pour obtenir ce résultat, les pirates utilisent Unicode qui permet d'afficher des textes en format droite gauche, comme pour l'arabe ou l'hébreu, pour afficher la fin d'un nom, séparée de son début par des caractères invisibles, qui basculent l'affichage en mode "right-to-left". Le début du nom étant normalement affiché en gauche droite.

Ainsi un fichier dont le nom apparaît comme photo_D18727_Collexe.jpg sera en fait un fichier dont le nom est photo_D18727_Colljpg.exe. Et lorsque l'utilisateur ouvre le fichier pour tenter de visionner une image, c'est bien un exécutable qu'il lance, contenant un virus de préférence :-)