[Long mais à savoir sans doute] Faille de sécurité sur les navigateurs... Sauf IE

Le
Marc Robert
Bonsoir,



Je viens de lire ceci sur noos.discussions, un forum qui n'est accessible
qu'aux abonnés noos. Comme la nouvelle n'a pas encore été dupliquée sur
alt.noos.discussions (accessible, lui, beaucoup plus largement), je
répercute.

Le signataire du message est sérieux et, si j'en crois la liste de
navigateurs qu'il donne, les utilisateurs de Mac sont également concernés
(référence à Safari).

Voici la référence sur le web :

http://fr.news.yahoo.com/050208/7/49fsk.html

Voici le texte de l'article, que je copie colle. Bien entendu, une prudence
élémentaire permet sans doute d'échapper à ces risques, mais il vaut mieux
savoir. Je vous laisse juges - et vous présente toutes mes excuses si la
chose est déjà connue, ou répertoriée chez hoaxbuster.




mardi 8 février 2005, 17h23

Une faille de sécurité affecte tous les navigateurs sauf Internet
Explorer

Une fois n'est pas coutume, le navigateur de Microsoft n'est pas touché par
une vulnérabilité qui affecte tous ses concurrents. Elle se situe au niveau
de la gestion des noms de domaines internationaux, non implémentée dans
Internet Explorer.

Des experts en sécurité ont identifié une faille de sécurité touchant les
navigateurs Firefox, Opera, Safari, Netscape, Omniweb, Konqueror et Mozilla.

Pour une fois, Internet Explorer, le plus utilisé des navigateurs internet
et, à ce titre, objet du plus grand nombre d'alertes de sécurité, est
épargné. La raison est simple: il ne prend pas en compte le standard
vulnérable, reconnu pas tous ses concurrents.

Il s'agit de l'IDN (International Domain Name, ou nom de domaine
international), validé en 2003 par l'Internet Engineering Task Force (IETF),
l'instance technique qui définit les principaux standards du Net. Il a
également été adopté en 2002 par l'organisme international de gestion des
noms de domaine Icann (Internet Corporation for Assigned Names and Numbers).

Ce système, qui doit fonctionner avec un navigateur compatible, permet de
créer des noms de domaines internationaux ou multilingues,
c'est-à-dire exploitant des caractères autres que ceux du format anglo-saxon
classique (ASCII). Un procédé encore peu répandu, qui permet donc d'utiliser
des accents dans une URL ou des caractères spéciaux issus d'alphabets arabe,
chinois ou cyrillique.

Un classique scénario de "spoofing"

La faille a été décelée au niveau de la gestion de cet IDN par l'expert
américain en sécurité Eric Johanson. Selon lui, il s'avère très facile
d'utiliser des caractères spéciaux pour créer une fausse URL, qui sera
pourtant affichée dans la barre d'adresse comme une URL connue, afin
de tromper l'internaute (selon la technique du "spoofing").

Il donne ainsi l'exemple du site de Paypal.com, du nom du système de
paiement électronique par e-mail. Avec le code correspondant par exemple à
"pàypal.com", le navigateur affiche quand même dans la barre d'adresse
"paypal.com", alors qu'il a donc chargé une page d'un autre nom de domaine.

Un scénario confirmé par la société danoise de recherche en sécurité
Secunia, qui qualifie la faille de modérément critique; elle lui attribue
l'indice 3 de dangerosité sur son échelle qui en compte 5. La société
danoise propose un rapide test en ligne pour vérifier l'intégrité de son
navigateur.

Les navigateurs concernées sont Firefox 1.0, Camino .8.5, Mozilla 1.7,
Safari 1.2.4, Konqueror 3.22, OmniWeb 5.1, Opera 7.54, et
leurs versions antérieures respectives.

Il n'existe pas encore de correctif. Secunia conseille donc de «ne pas
cliquer sur des liens provenant de sources non sûres», et, en cas de doute,
de taper manuellement les URL dans la barre d'adresse. La barre Spoofstick,
fournie par l'éditeur américain Core Street et censée protéger  contre ce
type de pratique, est également vulnérable.

Vos réponses
Trier par : date / pertinence
Marc Robert
Le #1402948
dans l'article , Zorglub à
a écrit le 8/02/05 19:56 :


nouvelle pas fraiche


c'est sorti sur tous les bons blogs ce matin et sur f.c.i.w.navigateurs,
alors pas la peine de la ramener ici avec un post hors charte et
beaucoup trop long, à part toi peut-être tout le monde sait cliquer sur
un lien!



Bonsoir monsieur Zorglub,


Si vous utilisiez correctement votre souris, vous ne laisseriez pas croire
que la mention "nouvelle pas fraîche" figure dans mon post. Le reste de
votre message, lui, révèle toute l'étendue d'une science devant laquelle je
m'incline volontiers.

Ce fil est donc déjà terminé grâce à votre aide précieuse, dont tout le
monde, je l'espère, vous remercie autant que moi.


listes2
Le #1402947
Marc Robert
Ce fil est donc déjà terminé grâce à votre aide précieuse, dont tout le
monde, je l'espère, vous remercie autant que moi.


Faut pas t'inquiéter parce que Zorglub est de mauvais poil... Ca arrive
:-)

--
Olivier Goldberg, étudiant, macaddict, plongeur CMAS ***
Pour le courrier personnel, écrire à:
olivier (arobase) ogoldberg (point) net
AIM/iChat/Skype: Nept47

fra
Le #1399835
Marc Robert
La faille a été décelée au niveau de la gestion de cet IDN par l'expert
américain en sécurité Eric Johanson. Selon lui, il s'avère très facile
d'utiliser des caractères spéciaux pour créer une fausse URL, qui sera
pourtant affichée dans la barre d'adresse comme une URL connue, afin
de tromper l'internaute (selon la technique du "spoofing").


C'est le site distant qui envoie la fonte d'affichage de l'URL ???
--
Fra

Publicité
Poster une réponse
Anonyme