[fr]
Shmoo exploit explained in French.
[en]
Je n’ai pas le temps de lire tous les détails, donc je vais laisser quelqu’un d’autre (avec peut-être des connaissances techniques un peu plus solides que les miennes) expliquer exactement de quoi il en retourne.
En gros, il semblerait que cet exploit fasse le bonheur des adeptes du phishing.
Si vous utilisez FireFox, voici les instructions données par BoingBoing:
- Tapez
about:configdans votre barre d’adresses. - Utilisez le filtre pour trouver
network.enableIDN - Double-cliquez sur la ligne qui apparaît pour que la valeur devienne
false
Edit 09.02.2005: mise à jour FireFox qui doit régler ce problème.
Comme je l’ai dit, je n’ai pas investigué cette histoire à fond, mais les sources me semblent fiables. Revenez par ici pour voir s’il y a du nouveau. Gardez aussi un oeil sur le cosmos Technorati de l’article sur BoingBoing.
Au risque de se répéter: Ne jamais cliquer un lien dans un e-mail. Toujours copier-coller. Ne jamais cliquer un lien dans un e-mail. Taper l’adresse à la main dans le navigateur.
{ 3 trackbacks }
{ 15 comments… read them below or add one }
En anglais, une explication plus explicite de comment ça fonctionne:
http://www.livejournal.com/users/rjl20/446919.html
En gros, IDN permet l’utilisation de caractères utf-8 dans les URL. Cet exploit utilise la ressemblance graphique de certains caractères pour envoyer l’utilisateur sur un autre site que celui qu’il imagine. Dans le “proof of concept” publié par le groupe Shmoo, le premier “a” de “paypal” est remplacé dans l’URL par un caractère dont la forme graphique ressemble à s’y méprendre à un “a” normal, mais qui est en fait un autre caractère.
Une explication un peu plus technique en français (merci Corsac):
http://www.k-otik.com/bugtraq/bulletins/908
En anglais, une explication plus explicite de comment ça fonctionne:
http://www.livejournal.com/users/rjl20/446919.html
En gros, IDN permet l'utilisation de caractères utf-8 dans les URL. Cet exploit utilise la ressemblance graphique de certains caractères pour envoyer l'utilisateur sur un autre site que celui qu'il imagine. Dans le “proof of concept” publié par le groupe Shmoo, le premier “a” de “paypal” est remplacé dans l'URL par un caractère dont la forme graphique ressemble à s'y méprendre à un “a” normal, mais qui est en fait un autre caractère.
Une explication un peu plus technique en français (merci Corsac):
http://www.k-otik.com/bugtraq/bulletins/908
Serious security issue with non-IE browsers
Ouch…for once IE is not subject to this problem. Basically, not all characters of some internationalized domain names are displayed in firefox's (among others) address bar and pages, which opens the door to phising exploits. See the (no-risk as of…
Serious security issue with non-IE browsers
Ouch…for once IE is not subject to this problem. Basically, not all characters of some internationalized domain names are displayed in firefox's (among others) address bar and pages, which opens the door to phising exploits. See the (no-risk as of…
Qui s’est endormi, Chris?
C’est ta faute, avec notre discussion sur les allophones !! Bleah. J’ai changé le titre du billet, bien sur, mais pas le permalien.
Dangerous homophones Homophones dangereux
Quelqu'un s'est endormi sur ses deux oreilles. Désolée d'être un peu sévère, mais l'exploit permettant des attaques par URL contrefaite (« phishing ») qui fait le tour de la toile depuis le week-end est tellement évident et son …
Qui s'est endormi, Chris?
C'est ta faute, avec notre discussion sur les allophones !! Bleah. J'ai changé le titre du billet, bien sur, mais pas le permalien.
This potential exploit was mentioned, discussed, waved around and overall beaten to death when the idea of allowing unicode characters in domain names first came up, I’d say, about a full year ago. I do remember, among other thing, the usual 500+ thread on Slashdot at the time…
Whoever at Apple and Mozilla (and most of all the people who came with the RFC) didn’t see that one coming is not only ridiculously stupid (unicode collisions and their dangers usually stand somewhere in the second paragraph in any text talking about encodings) but also very, very deaf.
Si jamais, le plugin Saft pour Safari permet d’afficher un message d’alerte s’il identifie une URL IDN et en affiche le contenu réel.
This potential exploit was mentioned, discussed, waved around and overall beaten to death when the idea of allowing unicode characters in domain names first came up, I'd say, about a full year ago. I do remember, among other thing, the usual 500+ thread on Slashdot at the time…
Whoever at Apple and Mozilla (and most of all the people who came with the RFC) didn't see that one coming is not only ridiculously stupid (unicode collisions and their dangers usually stand somewhere in the second paragraph in any text talking about encodings) but also very, very deaf.
Si jamais, le plugin Saft pour Safari permet d'afficher un message d'alerte s'il identifie une URL IDN et en affiche le contenu réel.