Journal Faille dans Firefox ("spoofing")

Posté par  .
Étiquettes :
0
8
fév.
2005
Bonjour,

Une faille (que je qualifierai d'assez sérieuse) vient d'être découverte dans Mozilla/Firefox: http://www.shmoo.com/idn/(...)

En cliquant un lien (qui semble pointer sur http://paypal.com/(...)) on arrive sur un autre site (http://xn--pypal-4ve.com/(...)) avec dans la barre d'adresse http://paypal.com/(...) !

Si on regarde la source de la page affichée, on voit que l'on n'est pas sur http://paypal.com/(...)

A l'heure actuelle aucun correctif n'est disponible. :-(

Plus d'info:
http://www.shmoo.com/idn/homograph.txt(...)
http://news.google.fr/news?q=faille%20firefox&hl=fr&lr=&(...)

V. Workaround

You can disable IDN support in mozilla products by setting 'network.enableIDN'
to false. There is no workaround known for Opera or Safari.

VI. Vendor Responses

Verisign: No response yet.
Apple: No response yet.
Opera: They believe they have correctly implemented IDN, and will not be
making any changes.
Mozilla: Working on finding a good long-term solution; provided clear
workaround for disabling IDN.

  • # Effectivement

    Posté par  (site web personnel) . Évalué à 0.

    Ha oui, c'est assez pénible, en effet...

  • # C'est pas une faille en tant que telle de Mozilla

    Posté par  . Évalué à 10.

    Comme l'a dis opera :
    "They believe they have correctly implemented IDN, and will not be
    making any changes".
    C'est le protocole en lui même qui est foireux, pas l'implémention.

    Pour expliquer rapidement, au lieu d'avoir des noms de domaines en ASCII 7(8?)bit, on est passer en nom de domaines unicodes.

    Or certain caractère n'ayant pas le même "numéro" sont réprésentés de la même manière : le caractère 'a' et & # 1 0 7 2; sont différents mais correspondent à la lettre 'a ' à l'affichage.

    ainsi www.paypal.com et www.pаypal.com sont deux adresses différentes pour le DNS et la résolution de nom mais sont affichés "www.paypal.com" dans le navigateur.

    Mozilla réfléchit à la mise en place d'outil anti-spoofing (et donc anti-fishing) par exemple, pour détecter les astuces de types <a href="www.paypa1.com">www.paypal.com</a>.


    PS : d'ailleurs c'est marrant, meme dans mon texte a et а sont équivalent ;-)

  • # Ca va durer....

    Posté par  (site web personnel) . Évalué à 6.

    Cette "faille" existera tant que l'on autorisera d'acheter des Noms de Domaines contenant des lettres codées en ascii. Et tous les site sont vulnérables.
    Exemple du grand méchant qui veut voler les mots de passe des moules: Il achète aujourd hui le NDD linuxfr.org en remplacant une lettre par son code ascii. Après il n'a plus qu'a faire un fake du site linuxfr, s'arranger pour que les gens viennent sur son site pensant que c'est le vrai linuxfr (bon là il utilise les moyens qu'il veux: post d'un lien dans une tribune, sur un forum disant "linuxfr ca rulez" et il met son lien pourri (qui apparaitra comme normal puisque le caractère ascii est interprété), et attendre que quelque pigeons entrent leur login et pass sur ce qu'ils croient être le formulaire d'identification pour que le grand méchant recoivent leur identifiant.

    Bref, tant que les caractère codé en ascii sont autorisés par les registars, on est pas sorti de l'auberge....

    • [^] # Re: Ca va durer....

      Posté par  (site web personnel) . Évalué à 5.

      Correctif pour moi qui ai parlé trop vite:
      remplacez tous mes mots "ascii" par "unicode" :-)

    • [^] # Re: Ca va durer....

      Posté par  . Évalué à 2.

      Pourtant cette faille ne fonctionne pas dans Konqueror 3.2.3 ou Lynx.
      Il y a donc une solution possible au niveau du navigateur, non?

    • [^] # Rahhh

      Posté par  (site web personnel) . Évalué à 5.

      lis le put1n d'article ... il ne s'agit pas de remplacer « une lettre par son code ascii » (ou unicode), ça ne veut rien dire. L'idée est de remplacer une lettre par une autre lettre unicode mais qui s'affiche à peu près de la même façon.

      Ici le 'a' dans paypal est remplacé par un a de l'alphabet cyrillique. Ça peut avoir un aspect légèrement différent, ça dépend des fontes utilisées. Mais il y a plein d'autres possibilités, par exemple il aurait pu remplacer le 'p' par 'р' (&#1088).

  • # J'ai raté un truc ?

    Posté par  . Évalué à -3.

    Excusez-moi d'être pénible mais j'ai cliqué sur le premier lien...
    et j'ai effectivement l'impression d'être sur Paypal.
    J'ai ensuite regardé le source et les informations sur la page... et j'ai toujours l'impression d'être sur paypal.

    a- il s'agit effectivement du site officiel de paypal et c'était une blague et donc je suis aussi lourd qu'un éléphant dans un magasin de porcelaine et je n'ai pas d'humour...

    b- ce n'est pas paypal je suis donc un vrai gogo facile à arnaquer... mais où voyez-vous dans le source (ou ailleurs) que ce n'est pas le cas ?

    c- autre ?

    Merci

  • # Je vais sans doute dire une connerie

    Posté par  (site web personnel) . Évalué à 7.

    mais pourquoi ne pas afficher en gras (ou en couleur) les caractères qui sortent de l'ascii7 dans la barre d'url du navigateur ?
    Au moins ça paraitrait un peu bizarre. Et on pourrait tenter de se méfier.

  • # pas de correctif mais une astuce simple...

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    pour éviter ce genre de pishing, il suffit de désactivé l'IDN :

    dans les gecko* et faut aller dans about:config, chercher idn et mettez la valeur de network.enableIDN à false ...

    M.

  • # Beh

    Posté par  (site web personnel) . Évalué à 4.

    en tout cas chez moi on voit distinctement que le "a" est louche (il est plus petit que le 2eme "a")

    ps : Firefox 1.0 avec fr_FR@euro

    • [^] # Re: Beh

      Posté par  (site web personnel) . Évalué à 3.

      Ba oui mais ça dépend beaucoup de la police utilisée... En basse résolution et caractères petits c'est loin d'être évident.

  • # La solution existe sous Firefox

    Posté par  (site web personnel) . Évalué à 3.

    network.enableIDN ne desactive rien du tout, sous Mozilla comme sous Firefox.

    Pour Firefox, cette méthode fonctionne chez moi : http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shm(...)


    Par contre, je n'ai pas trouvé pour Mozilla.
    Quelqu'un a une solution ?

  • # Verisign... Security Company ?

    Posté par  (site web personnel) . Évalué à 3.

    Ce post résume bien le probleme:
    http://james.seng.cc/archives/2005/02/08/idn_and_homographs_spoofin(...)

    Les navigateurs ne peuvent pas y faire grand chose (a part ne pas implementer IDN :). C'est surtout aux gens s'occupant de l'enregistrement des noms de domaines de ce style de faire attention...

    • [^] # Re: Verisign... Security Company ?

      Posté par  . Évalué à 0.

      une fois tout pesé, ce problème n'est pas pire que quelqu'un qui ferait son phising sur paypall.com, paipal.com ou securitypaypal.com

      en gros, le problème est ailleurs.

      • [^] # Re: Verisign... Security Company ?

        Posté par  . Évalué à 3.

        si c'est pire. ma soeur pourrait se faire avoir par un "paypall.com, paipal.com ou securitypaypal.com", mais pas moi.

        tant dis que "paypal" à la place de "paypal"...

    • [^] # Re: Verisign... Security Company ?

      Posté par  (site web personnel) . Évalué à 2.

      C'est surtout aux gens s'occupant de l'enregistrement des noms de domaines de ce style de faire attention...

      Je ne peux m'empécher de faire un parallèle en pensant à ce que le bureau européen des brevets et le patent office américain se devraient aussi de faire... Bref, c'est pas gagné.

  • # Contournement avec Adblock

    Posté par  (site web personnel) . Évalué à 1.

    Je rajoute un commentaire pour centraliser l'information.
    Toujours sur le même blog, il est proposé un contournement utilisant Adblock. L'idée est d'interdire tous les sites dont l'adresse est non-ASCII :
    - Outils / Adblock / Preferences
    - cocher : Adblock Options / site blocking
    - ajouter le filtre : /[^\x20-\xFF]/
    Après cela, un click sur le lien en cause ne fait plus rien.

    L'URL du post : http://users.tns.net/%7Eskingery/weblog/2005/02/workaround-for-idn-(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.