[Long mais à savoir sans doute] Faille de sécurité sur les navigateurs... Sauf IE

Bonsoir,



Je viens de lire ceci sur noos.discussions, un forum qui n'est accessible
qu'aux abonnés noos. Comme la nouvelle n'a pas encore été dupliquée sur
alt.noos.discussions (accessible, lui, beaucoup plus largement), je
répercute.

Le signataire du message est sérieux et, si j'en crois la liste de
navigateurs qu'il donne, les utilisateurs de Mac sont également concernés
(référence à Safari).

Voici la référence sur le web :

http://fr.news.yahoo.com/050208/7/49fsk.html

Voici le texte de l'article, que je copie colle. Bien entendu, une prudence
élémentaire permet sans doute d'échapper à ces risques, mais il vaut mieux
savoir. Je vous laisse juges - et vous présente toutes mes excuses si la
chose est déjà connue, ou répertoriée chez hoaxbuster.


---------------------------

mardi 8 février 2005, 17h23

Une faille de sécurité affecte tous les navigateurs... sauf Internet
Explorer

Une fois n'est pas coutume, le navigateur de Microsoft n'est pas touché par
une vulnérabilité qui affecte tous ses concurrents. Elle se situe au niveau
de la gestion des noms de domaines internationaux, non implémentée dans
Internet Explorer.

Des experts en sécurité ont identifié une faille de sécurité touchant les
navigateurs Firefox, Opera, Safari, Netscape, Omniweb, Konqueror et Mozilla.

Pour une fois, Internet Explorer, le plus utilisé des navigateurs internet
et, à ce titre, objet du plus grand nombre d'alertes de sécurité, est
épargné. La raison est simple: il ne prend pas en compte le standard
vulnérable, reconnu pas tous ses concurrents.

Il s'agit de l'IDN (International Domain Name, ou nom de domaine
international), validé en 2003 par l'Internet Engineering Task Force (IETF),
l'instance technique qui définit les principaux standards du Net. Il a
également été adopté en 2002 par l'organisme international de gestion des
noms de domaine Icann (Internet Corporation for Assigned Names and Numbers).

Ce système, qui doit fonctionner avec un navigateur compatible, permet de
créer des noms de domaines internationaux ou multilingues,
c'est-à-dire exploitant des caractères autres que ceux du format anglo-saxon
classique (ASCII). Un procédé encore peu répandu, qui permet donc d'utiliser
des accents dans une URL ou des caractères spéciaux issus d'alphabets arabe,
chinois ou cyrillique.

Un classique scénario de "spoofing"

La faille a été décelée au niveau de la gestion de cet IDN par l'expert
américain en sécurité Eric Johanson. Selon lui, il s'avère très facile
d'utiliser des caractères spéciaux pour créer une fausse URL, qui sera
pourtant affichée dans la barre d'adresse comme une URL connue, afin
de tromper l'internaute (selon la technique du "spoofing").

Il donne ainsi l'exemple du site de Paypal.com, du nom du système de
paiement électronique par e-mail. Avec le code correspondant par exemple à
"pàypal.com", le navigateur affiche quand même dans la barre d'adresse
"paypal.com", alors qu'il a donc chargé une page d'un autre nom de domaine.

Un scénario confirmé par la société danoise de recherche en sécurité
Secunia, qui qualifie la faille de modérément critique; elle lui attribue
l'indice 3 de dangerosité sur son échelle qui en compte 5. La société
danoise propose un rapide test en ligne pour vérifier l'intégrité de son
navigateur.

Les navigateurs concernées sont Firefox 1.0, Camino .8.5, Mozilla 1.7,
Safari 1.2.4, Konqueror 3.22, OmniWeb 5.1, Opera 7.54, et
leurs versions antérieures respectives.

Il n'existe pas encore de correctif. Secunia conseille donc de «ne pas
cliquer sur des liens provenant de sources non sûres», et, en cas de doute,
de taper manuellement les URL dans la barre d'adresse. La barre Spoofstick,
fournie par l'éditeur américain Core Street et censée protéger  contre ce
type de pratique, est également vulnérable.

------------------------