Pour contourner les robots anti-spam, des hackers ont créé une police de caractères uniquement lisible par les humains
Depuis le début des années 2000, Proofpoint trie des emails pour ses clients.
Eht wprcx bivqn fvk
Le 3 janvier dernier, la firme américaine documentait un cas nouveau et d'une simplicité étonnante : les auteurs de spams employaient une police de caractère personnalisée afin d'afficher un message lisible pour la victime, mais illisible pour un robot. Lorsque le texte, tel que déchiffré par le logiciel, ne présentait aucun sens -- pas de mots reconnaissables --, une fois affichée par la boîte mail il prenait tout son sens -- les caractères généraient d'autres caractères grâce à la police singulière.
Sur le visionneur de caractères, on observe que le caractère a est représenté par cette police par un m. Ainsi, l'écriture d'un message en anglais -- ici la phrase par défaut utilisé pour visualiser une suite de caractères (The quick brown fox jumps over the lazy dog) -- se trouve illisible. Dans le cas des mails fallacieux, c'est l'inverse qui se produit : le premier texte soumis au logiciel de messagerie est illisible et seule l'utilisation de la police de caractères lui donne son sens original.
Pour cela, les attaquants intègrent à leur message un lien vers leur police -- une fonctionnalité commune des messageries mettant en page les messages en format HTML. Dans ce cas, les robots qui n'ont pas la faculté de lire le texte dans sa forme finale, mais dans sa première forme, dans le code du message, ne signalent pas aux victimes qu'il s'agit d'un spam. L'astuce aurait été utilisée pour du hameçonnage à l'insu des clients d'une grande banque selon Proofpoint : « les acteurs ont développé un modèle de hameçonnage utilisant une police web pour visualiser un message codé, écrit l'entreprise détaillant l'objectif des attaquants, produire des pages très soignées de phishing pour obtenir les identifiants pour une banque américaine de premier ordre ».
Une nouvelle fois, à travers ce cas, c'est l'éternel champ de la manipulation humaine qui se dessine quand les robots ont appris leur tâche grâce aux algorithmes. Sans prendre en charge ni la malice des hackeurs, ni l’interprétation des victimes, le machine learning se heurtera toujours à la créativité humaine, surtout la plus déconcertante de simplicité.