Auteur: toai
Date: 15-02-2005 18:23
Pour info.
--- origine: CERT Renater ---
Probleme de l'attaque "homographique" affectant de nombreux navigateurs
--------------------------------------------------------------------
Par le passe, les navigateurs ne prenaient pas en compte les
noms de domaines comportant des caracteres specifiques a une
langue nationale (noms de domaines "internationaux" ou
"internationalises"). A l'origine, en effet, les noms de domaine
ne comportaient que des caracteres ASCII.
Les noms de domaine " internationaux " sont des noms de domaine
comportant d'autres caracteres que les caracteres ASCII (par exemple:
caracteres russes, arabes, chinois, accentues...). Ces noms de domaine
ont ete normalises par l'IETF dans le RFC 3490.
Il semblerait que la plupart des versions recentes des navigateurs
Internet implementent le standard IDN aujourd'hui. Signalons
qu'Internet Explorer ne l'implemente pas.
Le probleme reside dans l'implementation de ce standard. En effet,
il s'avere que plusieurs lettres ou caracteres de langues
differentes sont representes graphiquement par des symboles
similaires. Ainsi, la lettre "a" utilisee en francais est
graphiquement semblable a la lettre "a" utilisee en russe. Ces
deux lettres bien que referencees par deux codes differents
s'affichent de facon analogue.
Cela rend possible l'apparition de noms de domaines homographes mais
mais referencant des systemes (machines) different(e)s. Il suffit
pour cela d'utiliser des alphabets differents mais comportant des
symboles qui se ressemblent.
Prenons l'exemple suivant: le "a" russe est utilise pour creer
le nom de domaine www.paypal.com. Si ce nom de domaine apparait
dans un lien hypertexte (page web ou courrier electronique) et
qu'un utilisateur clique dessus, la traduction numerique de ce
nom de domaine en adresse IP, renverra un resultat different de
celui qui serait attendu si le "a" utilise etait le caractere
"a" ASCII. L'utilisateur est donc dirige vers un serveur
physiquement different de la machine de confiance vers laquelle
il s'attend a etre dirige et peut etre amene a fournir des
informations confidentielles a n'importe qui.
Le rendu graphique dans la barre d'adresse, etant similaire il
est alors difficile de se rendre compte de la supercherie.
Demonstration sur la page:
http://secunia.com/advisories/14163/
Ce probleme d'homographes rend aussi possible la creation de
certificats SSL permettant de tromper des Internautes en se
faisant passer pour quelqu'un d'autre.
Le probleme n'est pas nouveau mais a ete le sujet de nombreuses
discussions et articles cette semaine.
Il est recommande d'eviter de suivre les liens hypertextes
presents dans des messages electroniques ou des sites webs
Il est preferable de retaper soi-meme le lien a la main,
surtout lorsqu'il est question d'acceder a des sites critiques.
Pour aller plus loin, quelques references:
"RFC 3490 - Internationalizing Domain Names in Applications (IDNA)"
http://www.faqs.org/rfcs/rfc3490.html
"The state of homograph attacks"
http://www.shmoo.com/idn/homograph.txt
"Punycode: A Bootstring encoding of Unicode for Internationalized Domain
Names in Applications (IDNA)"
http://www.rfc-editor.org/rfc/rfc3492.txt
"Unexpected Attack Vectors"
http://www.securityfocus.com/columnists/298
|
|