Informatique / Une faille, pour erreur humaine · 09 février 2005

Pour une fois, le mauvais élève IE est le seul épargné pour n’avoir pas pris le temps de s’adapter à la norme IDN. Et il semblerait qu’elle comporte une faille, que dis-je, un gouffre de sécurité puisqu’elle permet de faire passer un nom de domaine pour un autre aux yeux de l’utilisateur. La cible ? Vous, principalement, et par email. Le risque est de voir affiché “graphiquement” un nom de domaine dans un lien qui pointerait en réalité vers un autre domaine : je vous laisse imaginer l’usage qu’un individu malveillant pourrait faire d’une telle commodité... en anglais, on parle de spoofing.

L’existence de ce problème vient d’être révélée par le groupe Shmoo dans ce communiqué. Une démonstration du principe est visible ici. Pour l’instant, aucune parade n’est connue puisqu’il s’agit de la conséquence naturelle à la mise en place de cette norme, qui consiste rappelons-le à permettre l’utilisation de caractères Unicode dans les URLs.

Donc contrairement à ce qui a pu être annoncé ici ou là, le fait est que ce problème n’est pas un bug, mais uniquement le résultat de la stricte application d’une norme indispensable à l’ouverture de l’informatique sur le plan mondial. Car évidemment à ce niveau, le code ascii initial ne suffit pas. On peut toutefois noter que pour l’informatique, il n’y a pas d’ambiguïté dans les notations car c’est justement pour en arriver là qu’Unicode a été créé. Le problème est uniquement graphique :

• le caractère 1072 ($430 en hexadécimal) dessiné ici : ”а”, ressemble fortement au classique “a”,
• 1077 ($435) ”е” ressemble au “e”,
• 1089 ($441) ”с” ressemble au “c”,
• ...

(une table de correspondance Unicode peut être trouvée là)

Reste qu’il est toujours possible de désactiver le module IDN de votre navigateur… pour Firefox, vous trouvez en anglais une explication de la méthode ici. Pour résumer, il est possible de désactiver ce module facilement dans "about:config" (en passant "network.enableIDN" à "false") mais étrangement¹ la modification ne survit pas à la fermeture de Firefox. Donc il vous faut :

• trouver le fichier "compreg.dat" dans le répertoire :
  "C:\Documents and Settings\UTILISATEUR\"
".\Application Data\Mozilla\Firefox\Profiles\default.###\"
"UTILISATEUR" et "###" sont à remplacer. Attention, le répertoire ".\Application Data\" est normalement caché par windows
• le dupliquer (pour éviter le pire) puis l’ouvrir avec par exemple Wordpad, trouver la ligne :
  "@mozilla.org/network/idn-service;1"
  et la changer en :
  "@mozilla.org/network/idn-service;0"

En attendant qu’une vraie solution soit trouvée…

¹ MAJ : il semble comme indiqué ici que la non persistance du choix de l’activation du module IDN était un bug, le voilà corrigé.

MAJ : l’utilisation d’IDN est à nouveau possible en version 1.0.1 maintenant disponible en français car désormais, “les noms de domaines internationaux sont affichés en caractères spéciaux (punycodes), les sites web usurpateurs sont donc repérés dans la barre d’adresse (URL)”. L’information provient de linuxfr.org.