Définition Open Redirect
Selon Inky, une agence de cybersécurité, presque 10 000 mails de phishing ont tenté d’exploiter les failles de redirection des sites d’American Express et de Snapchat entre mai et juillet 2022. Dans les deux cas, les utilisateurs en confiance ont été redirigés vers des sites répliques de Fedex, de Microsoft, ou encore de DocuSign.
Ces cyberattaques fréquentes utilisent la vulnérabilité des URL de redirection d’une application ou d’un site web. Cette faille de sécurité, c’est l’Open Redirect (ORED). Bien exploitée, elle permet à un attaquant de rediriger un utilisateur vers un site malveillant. Découvrez comment fonctionnent ces failles et comment se protéger.
Qu’est-ce que Open Redirect ?
L’utilisation des redirections dans le marketing digital vise à rediriger un internaute d’un site web vers un autre. L’objectif est commercial. Il sert normalement l’intérêt des utilisateurs.
Une faille de vulnérabilité dans les URL de redirection
Les redirections se réalisent grâce à un lien présent sur l’application ou sur le site web. Le lien est associé à une URL pointant vers le site de destination. Le nom de domaine de ce dernier figure dans les éléments de l’URL.
Par exemple, vous cliquez sur un lien dans le site example.com pour profiter d’une offre commerciale sur le siteA.com. Son URL normale est : https://www.example.com?redirectURL=https://www.siteA.com.
La faille de sécurité Open Redirect désigne littéralement une redirection ouverte. Celle-ci permet à un attaquant de modifier les paramètres de l’URL pour rediriger l’internaute vers un site malveillant. L’URL modifiée devient https://www.example.com?redirectURL=https://www.sitemalveillant.com.
L’Open Redirect : un support pour les attaques de phishing
Les attaques de phishing (hameçonnage) consistent à inciter la victime à cliquer sur un lien attractif. Pour y parvenir, elles utilisent les techniques de l’ingénierie sociale : émotions (peur, désir) et manipulation (usurpation de logo). Selon le site gouvernemental cybermalveillance.fr, le phishing représente la première menace de cyberattaque en 2022 en France.
Concrètement, vous recevez un mail d’une entreprise que vous connaissez. Il contient un lien avec une URL manipulée grâce à la vulnérabilité de l’Open Redirect. Si vous cliquez, vous êtes redirigé vers un site malveillant. La page de destination vous demande vos données d’identification pour les dérober.
Comment fonctionne cette vulnérabilité de sécurité ?
L’Open Redirect repose sur la souplesse de création des URL de redirection.
Une entrée utilisateur non fiable dans une application web
Pour utiliser les failles Open Redirect, le hacker doit accéder au code de la redirection URL de l’application web. D’une part, il peut alors utiliser les paramètres GET de l’URL (élément redirect). Ce sont eux qui indiquent le site vers lequel l’utilisateur doit se diriger après avoir cliqué sur un lien.
D’autre part, le cybercriminel peut accéder à l’URL de redirection en piratant un site web vulnérable grâce à des failles de sécurité : injection SQL ou injection XSS. L’injection d’un code malveillant (sous JavaScript ou sous PHP) peut alors modifier une page du site. Le code permet par exemple de basculer le visiteur vers un site frauduleux grâce à un formulaire de contact modifié.
Open redirect : une redirection sophistiquée vers la page web de l’attaquant
Pour réussir sa cyberattaque, le hacker met en place un ensemble de techniques :
- usurpation d’identité de marque réputée (logo, charte graphique) ;
- piratage de comptes d’expédition de campagnes emailing ;
- utilisation d’un domaine de confiance pour rediriger la victime vers un site malicieux ;
- vol de données d’identification lors de la connexion à la page d’atterrissage du site frauduleux.
Quels sont les risques et les conséquences de l’Open Redirect ?
Les attaques amorcées grâce à l’Open Redirect entraînent des conséquences directes et indirectes pour les utilisateurs et les sites web.
L’exploitation des données d’identification de la victime
La cible d’une action de phishing, ce sont les données d’identification d’un utilisateur. Ces informations peuvent être utilisées directement pour réaliser une escroquerie sur le web. Par exemple, le hacker peut effectuer des achats grâce aux données de CB enregistrées dans un site vulnérable. Il peut également revendre les informations volées sur le dark web.
Un site web vulnérable : un manque de confiance pour l’utilisateur
Les failles Open Redirect non corrigées nuisent à la réputation d’un site internet. En effet, la publicité faite autour des arnaques se propage rapidement grâce aux réseaux sociaux. Elle décourage les internautes à acheter ou à interagir sur le site ciblé par une attaque. Les vulnérabilités Open Redirect des sites web ont donc un coût commercial pour les entreprises hôtes.
L’Open Redirect : une passerelle pour d’autres attaques
La vulnérabilité Open Redirect peut soutenir une action de phishing, mais aussi des cyberattaques plus élaborées. Les hackers peuvent ainsi modifier le lien de redirection à destination d’un site toxique. Ce dernier contient un code malveillant qui peut infecter l’ordinateur des visiteurs. Les cybercriminels peuvent alors contrôler alors le système informatique et/ou les comptes utilisateurs.
Le téléchargement d’un spyware permet par exemple de collecter des informations sensibles sur une cible déterminée. Quant au logiciel ransomware, il permet le vol de données dans le but d’obtenir le paiement d’une rançon pour leur restitution. Enfin, les cybercriminels peuvent implémenter des programmes malveillants de type scareware (alarmriciel) dans les ordinateurs des internautes.
Comment détecter l’Open Redirect ?
La détection de l’Open Redirect exige des compétences avancées en langage informatique. C’est le rôle d’experts en cybersécurité.
Inspection des paramètres des URL de redirection
Pour détecter une éventuelle faille de vulnérabilité Open Redirect, vous pouvez procéder à l’analyse manuelle des URL de redirection. Par exemple, modifiez l’URL (paramètre GET) d’un lien de redirection. Si le site inspecté vous redirige vers un site cible sans demande de validation, c’est qu’il est vulnérable. L’Open Redirect repose en effet sur l’absence de validation de la redirection.
Scanner de vulnérabilités pour application et site web
Pour les sites importants (e-commerce), l’analyse manuelle de chaque page représente un travail fastidieux. Pour faciliter la détection des vulnérabilités, il existe désormais des outils de détection automatisée. Vous pouvez ainsi utiliser le scanner de vulnérabilité HTTPCS Security.
C’est un outil en ligne programmable. Il fonctionne de manière autonome pour détecter les failles de sécurité référencées dans le top 10 de l’Open Web Application Security Project (OWASP) et dans le catalogue des Common Vulnerabilities and Exposures (CVE).
Comment prévenir l’Open Redirect ?
La sécurité informatique d’un site web relève d’une stratégie de contrôle des accès et des redirections.
Contrôler les entrées utilisateurs pour réduire les failles de vulnérabilité
Pour éviter l’exploitation des failles de l’Open Redirect, il s’agit d’interdire ou de contrôler les entrées d’URL de redirection. Pour qu’une URL soit acceptée, un utilisateur doit par exemple utiliser un nom court, un identifiant ou un jeton de sécurité. L’élément est associé dans le serveur à l’URL de redirection. Mais, il ne doit pas saisir d’URL complète pour éviter toute modification par un hacker.
Par exemple, pour authentifier sa connexion, un utilisateur peut choisir sitecible dans sa demande de redirection et non pas saisir https://www.accounts.sitecible.com/. Le serveur connaît la correspondance entre les deux formulations. C’est le cas lorsqu’un site vous demande de vous identifier soit par un identifiant soit en cliquant sur un nom court dans une liste (en général Google ou Facebook).
Restreindre la redirection d’URL vers des sites de confiance
Pour garantir la fiabilité d’une URL, vous devez créer une liste d’URL fiables administrée par le serveur (sites, hôtes). Vous pouvez aussi développer un guide des expressions régulières (REGEX) pour filtrer les URL, des extraits de code ou des mots-clés. Ces tactiques suivent les méthodes recommandées par l’OWASP (open web application security project). Elles sont pertinentes pour la plupart des redirections proposées par un site web : se connecter, s’inscrire, partager ou télécharger du contenu.
Comment les utilisateurs peuvent-ils se protéger contre l’Open Redirect ?
Il n’existe pas de règle absolue pour se protéger de la vulnérabilité d’un site internet. Cependant, les bonnes pratiques et les outils dédiés à la cybersécurité sont des garanties élevées contre les cyberattaques.
Utilisateurs : des bonnes pratiques et une vigilance informatique pour éviter les vulnérabilités
La sensibilisation des internautes doit être une priorité :
- savoir repérer les éléments étranges dans une URL (amaz0n plutôt qu’amazon) ;
- contrôler l’URL de destination avec la barre d’adresse du navigateur ;
- vérifier les mails suspects de démarchage commercial (offre irrésistible) ou de signalement (paiement refusé) ;
- ne pas donner ses identifiants sans discernement ;
- choisir des mots de passe solides et les modifier régulièrement ;
- réaliser les téléchargements de contenu à partir de sources réputées ;
- repérer tout comportement anormal de son compte utilisateur.
La mise en place de contrôle sécurité contre le phishing et les attaques
La cybersécurité repose sur l’utilisation d’outils éprouvés : logiciel antivirus ou antimalware et pare-feu (activé). Ils peuvent détecter et empêcher les tentatives de redirection vers un site suspect. L’utilisateur peut également utiliser un utilitaire de nettoyage (Adwcleaner) pour supprimer les fichiers suspects de son ordinateur.
L’Open Redirect représente une forte vulnérabilité pour les utilisateurs. Cette faille est exploitée par les hackers pour des cyberattaques (phishing). C’est le rôle de la cybersécurité d’informer et de mettre en place les outils adaptés à la protection des sites et des utilisateurs.