Obfuscation des balises HTML
21 juillet 2025
Par Rikesh Vekaria et l'équipe de recherche sur les menaces de Mimecast
- Des cybercriminels recourent à l'obfuscation des balises HTML pour contourner les systèmes de détection de sécurité des e-mails
- Les techniques de mise en forme CSS permettent d'afficher du contenu malveillant qui échappe aux solutions de sécurité tout en paraissant légitime aux yeux des utilisateurs finaux
- Campagnes d'usurpation d'identité de marques exploitant les techniques de dissimulation des droits d'auteur de Microsoft
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une technique sophistiquée d'obfuscation HTML utilisée par les auteurs de menaces pour contourner les systèmes de détection de sécurité des e-mails. Cette méthode exploite les balises HTML légitimes <bdo> (Bi-Directional Override) et <cite> , en combinaison avec des styles CSS, afin de dissimuler du contenu malveillant au sein de communications par e-mail en apparence légitimes. Cette technique de dissimulation marque une évolution des méthodes de contournement par e-mail, ce qui témoigne de la capacité des acteurs malveillants à s'adapter en permanence aux contrôles de sécurité. En exploitant les fonctionnalités légitimes des balises HTML destinées à la mise en forme du texte et aux citations, les attaquants peuvent intégrer du contenu caché qui échappe aux méthodes traditionnelles de détection basées sur le contenu, tout en conservant l'apparence visuelle de communications légitimes.
Analyse technique
Exploitation de la balise BDO
La balise <bdo> est traditionnellement conçue pour contrôler le sens d'écriture dans les documents HTML, en gérant notamment la mise en forme du texte de droite à gauche (RTL) et de gauche à droite (LTR) via l'attribut « dir ». Cependant, les cybercriminels exploitent cette balise sans lui attribuer de valeurs de direction appropriées, mais l'utilisent plutôt comme un conteneur pour du contenu dissimulé.
Implémentation malveillante :
Dans cet exemple, le texte légitime « "© 2025 Microsoft." » est obscurci par l'insertion de caractères alphanumériques aléatoires au sein des balises BDO, ce qui fragmente le contenu lisible tout en conservant la structure globale.
Exploitation de la balise CITE
<cite> Selon le site<, la balise ` > ` sert à baliser le titre d'œuvres créatives et s'affiche généralement en italique par défaut. Les cybercriminels détournent cette balise pour dissimuler du contenu obscurci au sein d'un texte d'apparence légitime.
Implémentation malveillante :
À l'instar de la technique BDO, cette méthode fragmente l'"© 2025 Microsoft." text en insérant des caractères aléatoires entre les balises CITE, ce qui crée un effet de dissimulation visuelle tout en conservant la structure sous-jacente du message.
Invisibilité basée sur le CSS
L'élément essentiel de cette technique de dissimulation repose sur des styles CSS qui rendent le contenu malveillant invisible pour les utilisateurs finaux tout en conservant sa présence dans le code source HTML.
Mise en forme des balises BDO :
Mise en forme des balises CITE :
La déclaration « font-size: 0 » garantit que, quelle que soit la police spécifiée, le texte obscurci reste invisible lorsqu'il est affiché par les clients de messagerie. Cette technique permet de dissimuler efficacement le contenu malveillant aux utilisateurs, tout en contournant potentiellement les systèmes de sécurité qui analysent le contenu visible.
Vous trouverez ci-dessous un exemple de campagne utilisant cette technique : la partie de gauche présente le code HTML brut, tandis que celle de droite montre l'affichage de l'e-mail dans Outlook.
Méthodologie en matière de fraude fiscale
Cette technique présente plusieurs caractéristiques sophistiquées de contournement :
- Utilisation abusive légitime de balises : en utilisant des balises HTML standard à des fins autres que celles pour lesquelles elles ont été conçues, cette technique exploite l'écart entre la fonctionnalité des balises et la logique de détection des failles de sécurité.
- Manipulation du CSS : la combinaison de la structure HTML et de la mise en forme CSS crée un système de dissimulation à plusieurs niveaux qui sépare le contenu de la présentation.
- Rendu côté client : l'obfuscation ne prend effet qu'une fois le contenu traité par les clients de messagerie, ce qui complique l'analyse du résultat final par les systèmes de sécurité.
- Usurpation d'identité de marque : cette technique cible spécifiquement des éléments reconnaissables d'une marque, tels que les mentions de droits d'auteur de Microsoft, ce qui peut conférer une certaine crédibilité à des communications malveillantes.
L'évolution des techniques d'obfuscation basées sur le langage HTML montre à quel point il est important de disposer de capacités de détection avancées, capables d'analyser à la fois la structure technique et la présentation visuelle du contenu des e-mails. Les organisations doivent s'assurer que leurs mesures de sécurité permettent d'identifier et de contrer efficacement ces méthodes de contournement sophistiquées.
Protection Mimecast
Mimecast a mis en place des fonctionnalités avancées d'analyse HTML afin de détecter les techniques d'obfuscation basées sur le CSS, notamment celles utilisant les balises BDO et CITE. Nos systèmes de détection analysent à la fois la structure HTML et la mise en forme CSS afin d'identifier les contenus qui pourraient être masqués aux utilisateurs tout en restant présents dans le code source.
Objectifs:
Cette technique a été observée dans divers secteurs d'activité et régions géographiques, notamment dans le cadre de campagnes se faisant passer pour des marques et des services technologiques de confiance.
Indicateurs de compromission (IOC)
Modèles HTML :
- Utilisation de balises BDO sans attributs « dir » appropriés
- Balises CITE contenant des caractères alphanumériques aléatoires
- Stylisation CSS avec la propriété « font-size: 0 » appliquée aux balises BDO ou CITE
- Noms de marques fragmentés ou mentions de droits d'auteur au sein de ces balises
Indicateurs CSS :
- taille de police : 0 déclarations ciblant les éléments BDO ou CITE
- Combinaison des propriétés « font-family » et « font-style » avec une taille de police nulle
- Les déclarations de style qui rendent le contenu invisible
Recommandations
Sensibilisation à la sécurité :
- Sensibilisez les utilisateurs à l'importance de vérifier l'authenticité de l'expéditeur au-delà de l'apparence visuelle.
- Formez les équipes de sécurité à reconnaître les techniques d'obfuscation HTML lors des analyses manuelles.
- Mettez en place des mécanismes de signalement des e-mails suspects qui semblent légitimes mais présentent une mise en page inhabituelle
Recherche proactive des menaces :
- Recherchez dans les journaux de messagerie les contenus HTML comportant des balises BDO ou CITE contenant des caractères alphanumériques.
- Recherchez les règles CSS qui définissent la taille de police (font-size) à 0 pour certains éléments HTML.
- Analysez les e-mails contenant des noms de marque fragmentés ou des mentions de droits d'auteur.