BiDi Swap: The bidirectional text trick that makes fake URLs look real

2 minute de lecture

Mis à jour : October 28, 2025

Le Piège du BiDi Swap : Quand les Fausses Adresses Deviennent Réelles

Une vulnérabilité ancienne, surnommée BiDi Swap, permet aux cybercriminels de créer des adresses web trompeuses en exploitant la manière dont les navigateurs gèrent les écritures de gauche à droite (LTR) et de droite à gauche (RTL). Cette technique peut être utilisée pour des attaques de phishing, rendant des URL malveillantes indiscernables de liens légitimes.

L’exploitation repose sur le mécanisme de l’algorithme bidirectionnel (Bidi) de Unicode, conçu pour afficher correctement les textes mixtes. Cependant, cet algorithme peut être déjoué au niveau des sous-domaines et des paramètres d’URL, permettant de masquer des caractères trompeurs ou de réorganiser la structure pour faire apparaître une adresse anodine. Des techniques antérieures comme les attaques homographes (utilisant des caractères visuellement similaires mais différents) et les “RTL Override Exploits” ont pavé la voie à cette méthode.

Les navigateurs ont mis en place des protections, mais leur efficacité varie :

Chrome offre des suggestions pour les URL similaires, mais elle ne couvre pas tous les cas.
Firefox met en évidence les parties clés du domaine pour aider à repérer les faux liens.
Edge a indiqué avoir résolu le problème, mais l’affichage de l’URL ne semble pas avoir été modifié.
Arc (qui n’est plus développé) est cité comme un exemple de navigateur ayant bien implémenté une solution.

Points Clés :

Technique : BiDi Swap, exploitant les spécificités de l’algorithme Bidi de Unicode pour brouiller l’apparence des URL.
Objectif : Tromper les utilisateurs et les faire atterrir sur des sites malveillants, souvent dans le cadre de campagnes de phishing.
Exploitation : Manipulation des sous-domaines et des paramètres d’URL en mélangeant des scripts LTR et RTL.

Vulnérabilités :

Aucune référence CVE spécifique n’est fournie dans l’article, mais il s’agit d’une vulnérabilité comportementale liée à l’implémentation de l’algorithme Bidi dans les navigateurs.

Recommandations :

Sensibilisation : Toujours vérifier la légitimité des URL, surtout celles présentant des motifs inhabituels ou des mélanges de scripts.
Amélioration des navigateurs : Les développeurs doivent renforcer les protections existantes, comme la mise en évidence des domaines ou la détection d’URL trompeuses.
Éducation : Inciter les utilisateurs à survoler les liens pour vérifier leur destination, confirmer les certificats SSL et s’assurer de la cohérence du domaine avant de cliquer.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

BiDi Swap: The bidirectional text trick that makes fake URLs look real

Le Piège du BiDi Swap : Quand les Fausses Adresses Deviennent Réelles

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast