Ouvrir le menu principal

MacGeneration

Recherche

Une faille dans Chrome, Firefox et Opera ouvre la porte au phishing

Mickaël Bazoge

mardi 18 avril 2017 à 16:21 • 20

Logiciels

Il est parfois difficile de distinguer les caractères ASCII disponibles dans Unicode. En cyrillique par exemple, la graphie de lettre « а » (U+0430) est très proche de la graphie de la lettre « a » en alphabet latin (U+0061). Les navigateurs web s’en arrangent très bien grâce à Punycode qui transforme une chaîne de caractères Unicode en chaîne ASCII.

En termes de sécurité informatique, cela peut poser un problème car il est ainsi possible d’enregistrer une URL qui sera graphiquement très proche d’une autre, mais qui emportera l’internaute vers un autre site. En somme, une tentative de phishing de la plus belle eau.

Chrome, en arrière-plan, se fait avoir par cette attaque, mais pas Safari TP au premier plan — Cliquer pour agrandir

Dans Chrome, Firefox et Opera, une adresse comme xn--80ak6aa92e.com ne comprend que des caractères cyrilliques qui s’afficheront sous la forme apple.com. C’est aussi le cas de l’URL xn--e1awd7f.com qui va s’afficher sous la forme epic.com. Les polices utilisées par les deux navigateurs en question ne permettent pas de distinguer le vrai du faux, explique le chercheur en sécurité Xudong Zheng.

Il devient donc impossible d’identifier le site malveillant, sans consulter au préalable son certificat SSL. Et encore : selon Wordfence, un malandrin peut déposer un nom de domaine trompeur et acquérir un certificat SSL tout à fait valide auprès de LetsEncrypt, par exemple. Les utilisateurs de ces navigateurs sont donc susceptibles de tomber sur des sites d’hameçonnage dont les URL ressemblent comme deux gouttes d’eau à celles des sites légitimes. Microsoft Edge, Explorer et Safari sont immunisés, ces navigateurs présentant les URL malveillantes sous leur forme originale.

Ce type d’attaque, dite homographique, est connu depuis 2001, comme le raconte Silicon.fr. Le mécanisme de protection mis en place pour contrer ces attaques a une faille : si tous les caractères de l’URL sont remplacés par des équivalents issus d’une langue étrangère, l’adresse est en mesure de tromper les navigateurs faillibles comme c’est le cas des deux exemples ci-dessus.

Pour éviter de se faire avoir, on peut naviguer sur internet avec un des trois navigateurs qui ne présentent pas la faille. La vulnérabilité a été corrigée dans Chrome 59, elle le sera aussi dans Chrome 58. Quant à Firefox, il existe une manipulation : tapez about:config dans la barre d’adresse, recherchez punycode et dans le paramètre network.IDN_show_punycode remplacez la valeur false par true.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

NoName057(16), ou quand le piratage massif devient un jeu en ligne

18/07/2025 à 21:15

• 3


AI Act : Meta refuse de signer le code de bonne conduite de l’Union européenne

18/07/2025 à 20:15

• 62


Que vaut vraiment le portage Mac de Cyberpunk 2077 ?

18/07/2025 à 18:30

• 21


Promo : la souris ergonomique Lift de Logitech à moitié prix (40 €)

18/07/2025 à 18:06

• 4


Frame of preference retrace 20 ans d’évolution des Réglages Système

18/07/2025 à 15:00

• 2


Les ressources graphiques Liquid Glass sont disponibles pour Figma

18/07/2025 à 11:00

• 10


Scandale : Apple Intelligence supprime les chats sur les photos 🙀

18/07/2025 à 09:15

• 56


Apple porte plainte contre Jon Prosser et révèle l'origine des fuites sur iOS 26

18/07/2025 à 08:31

• 47


IA : Meta continue de déstabiliser Apple en recrutant ses talents

18/07/2025 à 08:17

• 34


ChatGPT Agent : l’IA qui peut (vraiment) faire le boulot à votre place

17/07/2025 à 21:35

• 100


Blender 5 abandonnera les Mac Intel

17/07/2025 à 21:30

• 11


Razer lance le Core X V2, un boîtier Thunderbolt 5 pour eGPU… mais pas uniquement

17/07/2025 à 18:29

• 5


Cyberpunk 2077 est disponible sur Mac… si vous avez plus de 8 Go de RAM

17/07/2025 à 16:21

• 89


YouTube Premium Lite arrive en France à 7,99 € pour voir moins de pubs

17/07/2025 à 15:44

• 98


Logitech propose (enfin) une version USB-C de son récepteur Bolt, mais oublie l'Unifying

17/07/2025 à 12:32

• 45


Le crédit à 0 % sur l’Apple Store prolongé jusqu’à fin septembre : les iPhone 17 concernés ?

17/07/2025 à 11:03

• 9