Une vulnérabilité a en effet été découverte, de type "Phising", sur de nombreux navigateurs, parmis lesquels tous ceux qui utilisent le moteur de rendu Gecko de la fondation Mozilla (Firefox, Mozilla 'SeaMonkey', Camino), ainsi que Safari, Opera, et Omniweb. La vulnérabilité est simple. Il s'agit simplement de se servir de la "bonne idée" de VeriSign (qui gère entre autres les .com), qui permet l'utilisation de toute la table ASCII (comprendre, tous les caractères, même accentués) pour les noms de domaines (cf ce lien).

Il en résulte qu'il est possible de remplacer un caractère par un autre, très très proche, comme par exemple : a et а (vous ne voyez pas la différence, mais regardez donc sur la présente capture, reproduisez le code, et tentez de cliquer sur les deux liens ...), et ainsi d'usurper un site.

Capture :

L'utilisation de cette technique est certes repérable, mais nécessite une attention toute particulère quant à l'observation des liens. Il est en effet très difficile de voir la différence (mais on peut la voir, cf , merci un monsieur sur LinuxFR).
Reste que cette faille peut être contournée, en désactivant le support des noms de domaines internationalisés, sous Mozilla et tous ses dérivés (Firefox, Camino ...) :
- commencez par rentrer l'adresse 'about :config' (pas d'espace entre 'about' et ':')
- cherchez une ligne qui contienne 'network.enableIDN'
- double cliquez dessus, et mettez 'false'. (Si vous utilisez des 'Builds' récentes de mozilla, le fait de cliquer dessus mettra directement false, dans la colonne value)

Maintenant, prenons un peu de recul. Cette faille n'est pas le résultat d'un problème au niveau du code des navigateurs, ni d'une quelconque librairie. Elle est uniquement due aux "Internationalized Domains Names" (IDN). Qu'est-ce ?
C'est tout simplement l'utilisation de tous les caractères, comme exprimé précédent, afin de décrire une adresse URL, l'adresse qui permet en fait de localiser une ressource (ici, sur internet). Le but est d'usurper l'identité d'un site, non en se basant sur une faille d'interprétation de code, mais simplement en utilisant un autre caractère suffisament proche visuellement parlant, pour que n'importe qui se fasse avoir.
À son introduction, cette idée, qui part d'un bon sentiment a priori, a été vivement critiquée, pour d'autres problèmes qu'elle posait. L'idée originelle que de permettre aux utilisateurs d'avoir des adresses url qui utilisent leurs caractères est somme toute bonne. Enfin, surtout pour les poches de VeriSign.

VeriSign n'est en effet pas un organisme public international, ou autre ONG. VeriSign est une entreprise, américaine, à qui a été confiée notamment la tâche de gérer tous les .com. Voyons maintenant un autre problème. Les noms de domaines sont certes illimités en nombres (du moins, la limite n'est pas humainement accessible), mais la possibilité d'utiliser des caractères autres que ceux de base étends encore énormément les possibilités. Qui dit plus de possibilité, dit par conséquent plus de rentrées d'argents possibles. D'autant que VeriSign a insisté énormément, certainement preuve d'une demande conséquente.
Malheureusement pour la dite société, son innovation est maintenant la source d'une 'faille de sécurité' béante, dont tout le monde peut être la victime, au vue des circonstances.

Une société qui s'était déjà faite des amis, en mettant un wildcard sur le .com, redirigeant ainsi toutes les requêtes vers des noms de domaines érronés sur son site, et qui avais du après quelques temps, rebrousser chemin.

Voir les posts : Par défaut Tous Les bonnes notes Les notes insuffisantes