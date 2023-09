Des cybercriminels utilisent une technique qui consiste à manipuler les polices de caractères dans les e-mails de manière à passer outre les analyses de sécurité et faire en sorte que l'e-mail apparaisse comme légitime dans Microsoft Outlook. Cette technique de phishing s'appelle ZeroFont. Faisons le point.

D'après Jan Kopriva, analyste chez ISC Sans, il faut être très méfiant face à cette nouvelle technique puisqu'elle est particulièrement trompeuse pour l'utilisateur. Documentée pour la première fois en 2018 par Avanan, la technique de phishing ZeroFont consiste à tromper les systèmes d'analyses de texte, qu'ils soient basés sur l'IA ou non.

Pour cela, le pirate intègre des mots ou des caractères cachés dans le corps de l'e-mail en rendant le texte invisible grâce à une taille de police positionnée à zéro (via du code CSS). Invisible pour l'humain, mais visible et analysable par les algorithmes de traitement automatique du langage naturel (NLP). L'objectif étant de fausser l'interprétation en ayant d'une part du contenu sain invisible et d'autre part du contenu dangereux visible.

Dans la nouvelle campagne de phishing découverte par Jan Kopriva, les cybercriminels ont exploité la technique ZeroFont différemment. En effet, ils sont parvenus à manipuler les aperçus des e-mails qui s'affichent sur les clients de message comme le très populaire Microsoft Outlook.

En fait, le contenu est différent entre l'aperçu du message dans la liste des e-mails et l'e-mail complet qui s'affiche sur la droite. L'exemple ci-dessous illustre très bien cette technique, car, comme vous pouvez le voir sur l'image ci-dessous, la liste des e-mails indique "Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM" alors que le début de l'e-mail dans le volet de lecture indique "Job Offer | Employment Opportunity." - Ceci est possible grâce à la technique ZeroFont utilisée pour intégrer et masquer le faux message d'analyse de sécurité au début de l'e-mail de phishing.

L'objectif étant de rassurer l'utilisateur puisqu'il pourra croire que l'e-mail a été analysé par l'outil de sécurité, et donc, qu'il est fiable. À partir de là, il pourra penser que l'e-mail est légitime et se faire piéger ! Pour contrer cette technique, il faudrait qu'Outlook (et les autres clients de messagerie potentiellement vulnérables) vérifie la taille de la police avant d'afficher du texte.

