Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Vulnérabilité liée à l’IDN dans tous les navigateurs sauf IE !

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Vulnérabilité liée à l’IDN dans tous les navigateurs sauf IE !

Eric Johanson, membre du groupe Shmoo (airsnort) a découvert une faille, pour le moins originale dans Mozilla, Firefox, Camino, Opera, Safari, Omniweb et Konqueror. Mais pas dans IE! Elle pourrait faciliter les attaques par  » phishing « . L’usurpation d’adresses et de certificats SSL serait possible.


Le problème de sécurité découvert repose sur l’internationalisation des noms de domaines. En effet, seuls les noms de domaines contenant des caractères ASCII sont supportés par les registrars.

Ainsi, il n’est pas possible d’enregistrer un nom de domaine avec des accents ou des caractères spéciaux. Pour contourner en partie ce problème, l’ICANN a récemment décidé d’adopter l’IDN (Internationalized Domain Names).

C’est en quelque sorte une manière d’écrire des caractères spéciaux avec uniquement des caractères ASCII. Evidemment, seuls les navigateurs adaptés pourront comprendre ces noms de domaine internationaux.

Ainsi, en jouant avec les caractères internationaux , il est possible, pour un webmaster malveillant de construire un lien, en apparence légitime, qui pointe vers un site piégé. L’utilisateur n’y voit que du feu.

Cette attaque ne fonctionne que si le navigateur de la victime est compatible avec les noms de domaines internationaux. C’est le cas des butineurs récents tels que Firefox, Mozilla, Safari mais pas Internet Explorer car par défaut, le navigateur de Microsoft ne support pas l’IDN !

Pour le moment aucune solution n’est disponible. Mozilla planche sur une solution  » durable « , en attendant il est conseillé de désactiver le support IDN. Et comme toujours, gare où vous cliquez !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.