Une vulnérabilité IDN touche plusieurs navigateurs, sauf Explorer!

Sécurité

Eric Johanson, membre du groupe Shmoo a découvert une faille, pour le moins originale dans Mozilla, Firefox, Camino, Opera, Safari, Omniweb et Konqueror. Mais pas dans IE! Elle pourrait faciliter les attaques par ‘phishing’. L’usurpation d’adresses et de certificats SSL serait possible

Le problème de sécurité découvert repose sur l’internationalisation des noms de domaines. En effet, seuls les noms de domaines contenant des caractères ASCII sont supportés par les registrars. Ainsi, il n’est pas possible d’enregistrer un nom de domaine avec des accents ou des caractères spéciaux. Pour contourner en partie ce problème, l’ICANN a récemment décidé d’adopter l’IDN (Internationalized Domain Names). C’est en quelque sorte une manière d’écrire des caractères spéciaux avec uniquement des caractères ASCII. Evidemment, seuls les navigateurs adaptés pourront comprendre ces noms de domaine internationaux. Ainsi, en jouant avec les caractères internationaux, il est possible, pour un webmaster malveillant de construire un lien, en apparence légitime, qui pointe vers un site piégé? L’utilisateur n’y voit que du feu. « It’s not a bug, it’s a feature » ! Cette attaque ne fonctionne que si le navigateur de la victime est compatible avec les noms de domaines internationaux. C’est le cas des butineurs récents tels que Firefox, Mozilla, Safari?mais pas Internet Explorer car par défaut, le navigateur de Microsoft ne support pas l’IDN ! Une fois n’est pas coutume! Pour le moment aucune solution n’est disponible. Mozilla planche sur une solution « durable », en attendant il est conseillé de désactiver le support IDN. Et comme toujours, gare où vous cliquez ! (*)

pour Vulnerabilite.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur