Une faille de sécurité pourrait favoriser les attaques de type phishing grâce à l'utilisation de noms multilingues sur certains types de navigateurs Internet.
Pour une fois, la dernière faille de sécurité trouvée ne concerne pas Internet Explorer, le navigateur de Microsoft ! Ironie du sort, Microsoft n'a pas encore intégré la technologie qui rendrait son navigateur vulnérable. Alors que ses principaux concurrents comme Opera, le très à la mode Firefox de Mozilla et même le navigateur Safari utilisé sur Macintosh sont eux potentiellement en danger. Bill Gates doit boire du petit lait…
A l'origine de cette situation paradoxale, puisque la plupart des milliers de failles de sécurité qui sont identifiées chaque mois ont plutôt tendance à ne toucher que Internet Explorer, les noms de domaine multilingues ou IDN. En effet, la prise en charge de ces noms permettant l'utilisation de caractères spéciaux comme les accents ou encore les alphabets asiatiques, est assurée de manière automatique par les navigateurs concurrents de Microsoft.
Mais le géant informatique n'a pas encore mis son logiciel à jour vis-à-vis de la nouvelle norme IDNA instaurée par l'Icann comme le standard technique mondial pour les noms accentués. Ainsi, pour pouvoir utiliser les IDN avec Microsoft Explorer il faut télécharger un plug-in, sorte de mini logiciel gratuit qui met le logiciel principal à jour.
Une bonne stratégie de nommage Internet pour lutter contre le phishing
La faille en elle-même pourrait être exploitée pour permettre de rediriger l'Internaute à son insu vers un site ressemblant au site sur lequel il cherche à se connecter. Ainsi, un pirate pourrait réserver créditlyonnais.com et y placer une copie du site de la banque. Ensuite, lorsque l'Internaute tenterait de se connecter sur le www.creditlyonnais.com, il serait automatiquement redirigé vers le site pirate sans le savoir, puisque la véritable adresse du site (celle avec l'accent) serait masquée.
Néanmoins, la faille de sécurité étant maintenant identifiée, les éditeurs des navigateurs concernés devraient très rapidement proposer une mise à niveau de leurs logiciels. Quant aux grands établissement bancaires, ils ont généralement intégré le risque de phishing dans leur stratégie de nommage Internet en réservant les noms de domaine phonétiquement ou orthographiquement proches de leurs noms officiels.
Lettre gratuite
Sur votre site
RSS
Imprimer l'article
Envoyer l'article
= requiert un