Forums


#1 09/02/2005 21:53:56

Grégory
Administrateur
Lieu: Sophia-Antipolis
Date d'inscription: 17/01/2005
Messages: 80
Site web

Une faille de sécurité affecte tous les navigateurs sauf IE

Sécurité - Une fois n'est pas coutume, le navigateur de Microsoft n'est pas touché par une vulnérabilité qui affecte tous ses concurrents. Elle se situe au niveau de la gestion des noms de domaines internationaux, non implémentée dans Internet Explorer.

Des experts en sécurité ont identifié une faille de sécurité touchant les navigateurs Firefox, Opera, Safari, Netscape, Omniweb, Konqueror et Mozilla.

Pour une fois, Internet Explorer, le plus utilisé des navigateurs internet et, à ce titre, objet du plus grand nombre d'alertes de sécurité, est épargné. La raison est simple: il ne prend pas en compte le standard vulnérable, reconnu pas tous ses concurrents.

Il s'agit de l'IDN (International Domain Name, ou nom de domaine international), validé en 2003 par l'Internet Engineering Task Force (IETF), l'instance technique qui définit les principaux standards du Net. Il a également été adopté en 2002 par l'organisme international de gestion des noms de domaine Icann (Internet Corporation for Assigned Names and Numbers).

Ce système, qui doit fonctionner avec un navigateur compatible, permet de créer des noms de domaines internationaux ou multilingues, c'est-à-dire exploitant des caractères autres que ceux du format anglo-saxon classique (ASCII). Un procédé encore peu répandu, qui permet donc d'utiliser des accents dans une URL ou des caractères spéciaux issus d'alphabets arabe, chinois ou cyrillique.

Un classique scénario de "spoofing"

La faille a été décelée au niveau de la gestion de cet IDN par l'expert américain en sécurité Eric Johanson. Selon lui, il s'avère très facile d'utiliser des caractères spéciaux pour créer une fausse URL, qui sera pourtant affichée dans la barre d'adresse comme une URL connue, afin de tromper l'internaute (selon la technique du "spoofing").

Il donne ainsi l'exemple du site de Paypal.com, du nom du système de paiement électronique par e-mail. Avec le code correspondant par exemple à "pàypal.com", le navigateur affiche quand même dans la barre d'adresse "paypal.com", alors qu'il a donc chargé une page d'un autre nom de domaine.

Un scénario confirmé par la société danoise de recherche en sécurité Secunia, qui qualifie la faille de modérément critique; elle lui attribue l'indice 3 de dangerosité sur son échelle qui en compte 5. La société danoise propose un rapide test en ligne pour vérifier l'intégrité de son navigateur.

Les navigateurs concernées sont Firefox 1.0, Camino .8.5, Mozilla 1.7, Safari 1.2.4, Konqueror 3.22, OmniWeb 5.1, Opera 7.54, et leurs versions antérieures respectives.

Il n'existe pas encore de correctif. Secunia conseille donc de «ne pas cliquer sur des liens provenant de sources non sûres», et, en cas de doute, de taper manuellement les URL dans la barre d'adresse. La barre Spoofstick, fournie par l'éditeur américain Core Street et censée protéger contre ce type de pratique, est également vulnérable.

Source : http://www.zdnet.fr/actualites/internet … 451,00.htm

Hors ligne

 

#2 18/04/2005 20:54:22

Meryl
Membre
Date d'inscription: 16/04/2005
Messages: 3

Re: Une faille de sécurité affecte tous les navigateurs sauf IE

J' utilise spoofstick pour I.E depuis quelques semaines, j'ai cru avoir trouvé une bone parade......Dois-je  déduire de cette lecture édifiante que ce n'est pas une solution très  fiable ? Je n'ai eu jusqu'ici aucune discordance entre les URL demandé et les URL affichés par lspoofstick.......Le doute me prend et les accès de parano aussi...

Hors ligne

 

#3 19/04/2005 09:30:48

Grégory
Administrateur
Lieu: Sophia-Antipolis
Date d'inscription: 17/01/2005
Messages: 80
Site web

Re: Une faille de sécurité affecte tous les navigateurs sauf IE

Selon l'espérience de chacun, je pense qu'il est préférable de se tourner vers des navigateurs alternatifs tels que Firefox ou Opera.

Personnellement, j'utilise Opera depuis plusieurs années, bien qu'il soit payant, j'en suis entièrement satisfait et je n'ai jamais rencontré de problèmes de sécurité.

Cependannt, je conseille quand même d'utiliser Firefox qui est un très bon produit qui propose de nombreux petit plugin assez sympathique.

Conclusion: il est préférable de laisser IE de côté lorsqu'on voit le nombre important de failles encore non corrigées (http://die.leox.com/ie_unpatched/).

Hors ligne

 

Pied de page du Forum