forum galerie-photo
galerie-photo, le Site Français de la Photographie Haute Résolution

 attaques informatiques
Auteur: toai 
Date:   15-02-2005 18:23

Pour info.


--- origine: CERT Renater ---

Probleme de l'attaque "homographique" affectant de nombreux navigateurs
--------------------------------------------------------------------

Par le passe, les navigateurs ne prenaient pas en compte les
noms de domaines comportant des caracteres specifiques a une
langue nationale (noms de domaines "internationaux" ou
"internationalises"). A l'origine, en effet, les noms de domaine
ne comportaient que des caracteres ASCII.
Les noms de domaine " internationaux " sont des noms de domaine
comportant d'autres caracteres que les caracteres ASCII (par exemple:
caracteres russes, arabes, chinois, accentues...). Ces noms de domaine
ont ete normalises par l'IETF dans le RFC 3490.

Il semblerait que la plupart des versions recentes des navigateurs
Internet implementent le standard IDN aujourd'hui. Signalons
qu'Internet Explorer ne l'implemente pas.

Le probleme reside dans l'implementation de ce standard. En effet,
il s'avere que plusieurs lettres ou caracteres de langues
differentes sont representes graphiquement par des symboles
similaires. Ainsi, la lettre "a" utilisee en francais est
graphiquement semblable a la lettre "a" utilisee en russe. Ces
deux lettres bien que referencees par deux codes differents
s'affichent de facon analogue.

Cela rend possible l'apparition de noms de domaines homographes mais
mais referencant des systemes (machines) different(e)s. Il suffit
pour cela d'utiliser des alphabets differents mais comportant des
symboles qui se ressemblent.

Prenons l'exemple suivant: le "a" russe est utilise pour creer
le nom de domaine www.paypal.com. Si ce nom de domaine apparait
dans un lien hypertexte (page web ou courrier electronique) et
qu'un utilisateur clique dessus, la traduction numerique de ce
nom de domaine en adresse IP, renverra un resultat different de
celui qui serait attendu si le "a" utilise etait le caractere
"a" ASCII. L'utilisateur est donc dirige vers un serveur
physiquement different de la machine de confiance vers laquelle
il s'attend a etre dirige et peut etre amene a fournir des
informations confidentielles a n'importe qui.

Le rendu graphique dans la barre d'adresse, etant similaire il
est alors difficile de se rendre compte de la supercherie.

Demonstration sur la page:
http://secunia.com/advisories/14163/

Ce probleme d'homographes rend aussi possible la creation de
certificats SSL permettant de tromper des Internautes en se
faisant passer pour quelqu'un d'autre.


Le probleme n'est pas nouveau mais a ete le sujet de nombreuses
discussions et articles cette semaine.

Il est recommande d'eviter de suivre les liens hypertextes
presents dans des messages electroniques ou des sites webs
Il est preferable de retaper soi-meme le lien a la main,
surtout lorsqu'il est question d'acceder a des sites critiques.


Pour aller plus loin, quelques references:

"RFC 3490 - Internationalizing Domain Names in Applications (IDNA)"
http://www.faqs.org/rfcs/rfc3490.html

"The state of homograph attacks"
http://www.shmoo.com/idn/homograph.txt

"Punycode: A Bootstring encoding of Unicode for Internationalized Domain
Names in Applications (IDNA)"
http://www.rfc-editor.org/rfc/rfc3492.txt

"Unexpected Attack Vectors"
http://www.securityfocus.com/columnists/298


 
 Re: attaques informatiques
Auteur: Claude Eichel 
Date:   15-02-2005 18:44

Des attaques il y en a tout le temps. Je regarde parfois les logs de mon routeur/firewall c'est impressionnat. On a parfois à faire à des attaques systématiques de tous les ports par une même adresse IP. Et c'est constant....
Claude


 
 Re: attaques informatiques
Auteur: toai 
Date:   15-02-2005 18:55

Claude
Je dirais que c'est normale que votre log de Firewall gonfle ,
a partir du moment que vous avez une patte sur la toile...
l y a des serveurs (logiciels et/ou machines) qui passent leur temps a scanner les ports des autres machines mais ce n'est pas une attaque comme un brigand qui veut entrer ...

mais le Pb du scan TCP/IP n'a rien a voir avec le pb soft de codage des caracteres des navigateurs ci dessus.


 
 Re: attaques informatiques
Auteur: Claude Eichel 
Date:   15-02-2005 19:38

Je sais bien, tous les moyens sont bons actuellement pour piéger le surfeur tranquille.
Le problème est qu'on a désormais à faire à des bandes organisées et plus à de petits hackeurs.
Claude




 
Retour à l'index général
le forum de galerie photo : http://www.galerie-photo.info/forum
galerie-photo, le Site Français de la Photographie Haute Résolution