1. Pour vous faciliter la navigation sur ce site, nous utilisons des cookies. Les cookies permettent de personnaliser le contenu des forums et de vous assurer une meilleure expérience sur notre site. En utilisant nos services, vous acceptez notre politique d'utilisation des cookies. En savoir plus.

Actualité Grosse faille dans Google Chrome et Firefox



Discussion créée par Pantheera dans le forum 'Sécurité informatique : actualité'. Date: 19 Avril 2017.

  1. Pantheera Maître Asussien

    Pantheera
    Au-boulot
    • Asussien
    • Donateur
    Inscrit:
    19 Avril 2016
    Messages:
    2 276
    Likes:
    57
    Points:
    118
    Localité:
    Aix-en-Provence
    Avis:
    +262 / 3 / -1
    Modèle Asus:
    Asus ROG G751JT
    Nom enseigne/magasin d'achat:
    http://www.materiel.net
    Date d'achat:
    05/11/2014
    Processeur:
    Intel Core i7-4710HQ CPU @ 2.50 Ghz
    Disque dur:
    SSD Samsung 850 EVO 500 Go + HDD Hitachi Travelstar 1 To à 7200 tpm
    Mémoire:
    16 Go (2 x 8 Go DDR3)
    Définition écran:
    17,3" - 1920 x 1080 (FullHD)
    Système d'exploitation:
    Windows 8.1 (64 Bit)
    Si vous utilisez Chrome et Firefox, il existe une importante faille qui permet à des personnes malveillantes de réussir plus facilement des attaques par phishing. Mais heureusement, Google s'active pour la corriger très prochainement alors que sous Firefox, il existe une astuce pour l'éviter.
    [​IMG]

    Toute la vulnérabilité repose sur l'utilisation des noms de domaines internationalisés (IDN). Comme vous le savez, il existe plusieurs langues utilisant les caractères spéciaux non définis par la norme ASCII. C'est le cas par exemple des caractère accentuées dans de nombreuses langues européennes comme le français et l'allemand. Or, les serveurs DNS qui font le lien entre les adresses IP des sites web et leur nom de domaine ne comprennent que les caractères ASCII. C'est la raison pour laquelle vous ne rencontrez jamais des sites avec des noms comme caractèreaccentué.com (exemple).

    Conversion ASCII avec le format punycode

    Pour les administrateurs de sites qui souhaitent tout de même avoir des caractères non-ASCII dans leur nom de domaine, cela reste possible grâce à la conversion punycode. C'est ainsi que certains registres de noms de domaines permettent de convertir des chaînes Unicode en chaînes ASCII de manière unique et réversible. Pour ce faire, les caractères non-ASCII sont représentés par des équivalents ASCII, le tout étant précédé du suffixe xn--.

    Il est où le danger ?

    Ce genre de conversion peut être problématique d'un point de vue sécuritaire dans la mesure où de nombreux caractères Unicode et ASCII sont impossible à différentier. Par exemple : copiez et collez ce аррӏе.com dans Chrome et accédez à l'URL. Comme vous pouvez le constater, il s'agit d'une fausse adresse qui semble pourtant authentique. En réalité, il ne s'agit que d'une conversion du domaine www.xn--80ak6aa92e.com: Hey there! Ici, le "a" dans le nom de domaine est cyrillique (U+0430) et non le "a" ASCII (U+0431). Ce sont deux caractères différents, bien qu'étant impossibles à différencier.
    [​IMG]

    On devine facilement que la faille fait le lit des attaques par phishing. Cette vulnérabilité de type homographique n'est pourtant pas nouvelle puisque connue depuis 2001. Des hackers pourraient facilement utiliser des noms de domaines apparemment authentiques pour tromper la vigilance des internautes et obtenir des informations sensibles telles que les identifiants des cartes bancaires. Cela est d'autant plus facile qu'on peut obtenir des certificats SSL pour les domaines au format punycode. Remarquez que la fausse adresse apple donnée en exemple plus haut est en HTTPS ("sécurisé").

    Une faille qui concerne Google Chrome et Firefox

    Parmi les principaux navigateurs en vogue actuellement, seuls Google Chrome et Firefox permettent l'affichage en ASCII des noms de domaines au format punycode, ce qui contribue à tromper la vigilance des internautes. Dans Opera, Edge ou encore Vivalidi, www.xn--80ak6aa92e.com: Hey there! s'affichera tel quel et non sous sa forme аррӏе.com, contrairement à Chrome et Firefox.

    Dans la version 59 de Chrome (à venir), Google va définitivement régler ce problème. Quant à Firefox, même si cela n'est pas activé par défaut, il est possible de changer les configurations pour empêcher l'affichage des noms de domaines internationalisés.

    Pour ce faire : saisissez about:config dans la barre d'adresse. Ensuite, recherchez punycode. Une ligne devrait s'afficher avec le texte network.IDN_show_punycode. Il est par défaut sur false, ce qui permet d'afficher les noms de domaine internationalisés. Pour l'empêcher, il suffit de double-cliquer sur la ligne pour mettre la valeur en true. Redémarrez le navigateur et testez à nouveau www.xn--80ak6aa92e.com: Hey there! qui ne devrait plus afficher le faux аррӏе.com, tout comme les autres adresses de ce type.


    Source : PaperGeek
    happy
     
    #1
  2. Les Forums Asus


Chargement...
Ces sujets pourraient vous intéresser :
  1. Pantheera
    Réponses:
    0
    Affichages:
    49
  2. blop135
    Réponses:
    0
    Affichages:
    443
  3. Djforfun
    Réponses:
    18
    Affichages:
    3 900
  4. ignaretotal
    Réponses:
    1
    Affichages:
    1 126
  5. antpavtoto
    Réponses:
    5
    Affichages:
    1 001

Partager cette page