Obfusquer : obscurcir (rendre difficilement déchiffrable). Différent de « chiffrer » (crypter). Inverse : deobfuscation. Outils : obfuscators, deobfuscators.

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Obfusquer : du latin offuscare (« obscurcir »).

En informatique, rendre difficilement lisible, mais avec des mécanismes de brouillage que l'on peut inverser (à condition de connaître des outils le permettant). Ne pas confondre avec « chiffrer » (« crypter ») qui rend totalement illisible sauf à connaître la clé de déchiffrement qui est totalement secrète (confidentialité totale des contenus, légitimes ou malveillants [virus, cryptowares, etc.]).

Typiquement, les scripts écrits en JavaScript sont obfusqués, pas forcément pour la mauvaise cause, mais de manière à être difficilement lisibles, même par ceux connaissant ce langage (retarder ou empêcher la copie pirate d'une invention d'un bon script, etc.). Les adresse de courrier électronique (« adresse email », « email address ») publiées dans les sites Web, dont les adresses de contact des responsables du site, peuvent être obfusquées pour ne pas être reconnues comme telles par les moissonneuses d'adresses courriel des spammeurs. Les URL peuvent être obfusquées pour de mauvaises causes (éviter les outils anti-publicités ou contourner les antivirus, etc.).

• Obfuscation pour la bonne cause :
  Une adresse email affichée sur un site Web pour que les visiteurs puissent écrire/contacter le webmaster est généralement encapsulée dans un script écrit en JavaScript puis obfusquée de manière à ce que les robots de moissonnage d'adresses email (« email harvester »), sur le Web, ne puissent pas les découvrir et bombarder les webmasters de spam.

  Par exemple, utiliser le service « Encrypter une adresse courriel pour lutter contre le SPAM » (de CASPAM : le meilleur service, inutile d'en chercher un autre) est un service d'obfuscation d'adresses courriel.

• Obfuscation pour la mauvaise cause :
  Une pièce jointe à un email contient un script obfusqué, indéchiffrable par les antivirus. Le spam étant généré automatiquement, la clé de chiffrement du script est modifiée automatiquement pour chaque destinataire du spam (il n'est pas possible de dégager une signature permettant de reconnaître l'attaque, ni même d'élargir aux méthodes heuristiques). L'utilisateur ouvre la pièce jointe. Le script s'exécute immédiatement et télécharge une malveillance, un virus, un ransomware, un cryptoware, etc. L'attaque TeslaCrypt (1, 2, 3, 4) de décembre 2015 s'est passée ainsi.

L'encodage le plus fréquent est celui du remplacement des caractères interdits dans les URL (caractères réservés à des usages particuliers depuis la naissance du matériel informatique puis de l'Internet, puis du Web) par des codifications conventionnelles dites « échappement% ». Il existe de nombreux services gratuits, en ligne, auxquels on peut soumettre un script en JavaScript (ou d'autres langages) obfusqué que le service va tenter de déobfusquer :

• Notre propre service en ligne d'obfuscation / déobfuscation (encoder / décoder un texte, dont des URL, en « échappement% »).

• Beautify, décompresser ou deobfusquer JavaScript et HTML, rendre JSON/JSONP lisible, etc.