Accueil » Actualité » Une faille IDN découverte dans Firefox… et d’autres

Une faille IDN découverte dans Firefox… et d’autres

Une vulnérabilité a été identifiée dans certains explorateurs web, elle pourrait être exploitée par des sites malicieux dans le but de exécuter des attaques par

spoofing

(technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une autre adresse IP que celle de la machine du pirate) ou

phishing

(terme désignant l'obtention d'informations confidentielles telles que les mots de passe, en se faisant passer pour quelqu'un digne de confiance).

Le problème résulte d'une erreur présente au niveau de l'implémentation de l’IDN (International Domain Name), qui n'interprète pas convenablement certaines URLs forgées contenant des caractères spécieux, ce qui pourrait permettre le spoofing des URLs présentes dans la barre d'adresses ou de certains certificats SSL.

L'exemple donné par shmoo est le suivant:

http://www.pаypal.com

affichera dans la barre d'adresses l'URL :

http://www.paypal.com

(celle désirée), mais pointera en réalité vers le l’adresse

http://www.xn--pypal-4ve.com

. Le navigateur devient donc vulnérable.

Pour le moment seuls certains

navigateurs sont susceptibles de subir une attaque

:

  • Mozilla 1.7.5 et inférieures
  • Firefox 1.0 et inférieures
  • Opera version 7.54u2 et inférieures
  • Safari version 1.2.4 (v125.1) et inférieures
  • OmniWeb version 5.1 et inférieures
  • Konqueror version 3.2.2 et inférieures

Aucune solution officielle n’a été trouvée, et aucun patch ne corrige l’erreur. Il est cependant important de noter que pour une fois, Microsoft Internet Explorer n'est pas vulnérable à cette attaque, car il n'implémente par l'IDN.

Shmoo à mis en oeuvre une page de test avec l"exemple suscité.

Mise à jour:

il semble que chez certaines personnes, on puisse résoudre le problème en désactivant l'IDN sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :

  • saisissez "about:config" dans la barre d'adresse
  • tapez "idn" dans le filtre
  • double-cliquez sur la valeur
  • remplacez true par false