Chrome et Firefox victimes d’un bug facilitant le phishing
Spoof !
Un chercheur pakistanais a mis le doigt sur une faille potentiellement dangereuse liée aux barres d’adresses des navigateurs, à commencer par Chrome et Firefox. La brèche est en cours de correction et a rapporté 5 000 dollars à son découvreur.
Rafay Baloch, chercheur en sécurité, a publié récemment dans un billet de blog certains détails sur sa découverte. Il y explique comment, dans l’API Omnibox de Chrome notamment, il est possible de profiter d’un bug dans la gestion des langues s’écrivant de droite à gauche.
Un joli cas de spoofing
En mélangeant des caractères « classiques » à des caractères neutres arabes ou hébreux par exemple, on peut amener le navigateur à se mélanger les pinceaux. Une adresse du type « 127.0.0.1/|/http://nextinpact.com » est automatiquement retournée pour devenir « http://nextinpact.com/|/127.0.0.1 ». Le danger se voit aisément : un individu peut faire croire à l’utilisateur qu’il va naviguer sur une adresse bien précise. Le chercheur précise qu’elle peut en particulier être utilisée pour déguiser un site malveillant en site paraissant authentique. Avec à la clé la récupération d’informations sensibles, comme on s’en doute.
Pour bien comprendre le problème, il faut imaginer qu’un pirate peut se servir de l’adresse IP d’un serveur qu’il contrôle et lui adjoindre un caractère neutre et le nom de domaine d’un service existant. Le lien peut alors être expédié sous n’importe quelle forme (email, SMS, etc.), le destinataire ne voyant alors qu’une adresse commençant par le nom de domaine. Mais c’est bien l’adresse IP qui est visée.
5 000 dollars de récompenses cumulées
Rafay Baloch indique que les détails de la faille ont été rapportés confidentiellement à chaque éditeur. Chrome et Firefox ne sont en effet pas les seuls touchés, mais il ne donne pas les noms des autres navigateurs, ni évidemment la méthode pour y exploiter le problème. Google travaille sur la faille, qui sera corrigée dans Chrome 53. Mozilla, de son côté, a déjà corrigé le souci dans Firefox 48, même si le fonctionnement de la brèche était légèrement différent.
Le chercheur précise en fin que la faille a été comptée aussi bien dans le programme de chasse aux bugs de Google que celui de Mozilla, lui rapportant au total 5 000 dollars.
Commentaires (39)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/08/2016 à 13h42
Fallait y penser, mais pas si compliqué que ça à trouver comme bug
Le 19/08/2016 à 13h53
Interessant à savoir.
" />
Le 19/08/2016 à 13h58
Mais le nom du site reste en noir, alors que le reste d’url est gris clair…
Moralité, si y a rien de noir à gauche de votre barre d’adresse: fuyez!
Le 19/08/2016 à 13h59
Le 19/08/2016 à 14h02
Le 19/08/2016 à 14h22
Au passage IE et Edge ne sont pas touchés !
" />
Le 19/08/2016 à 14h24
Le 19/08/2016 à 14h25
Pas si sur : “ Chrome et Firefox ne sont en effet pas les seuls touchés, mais il ne donne pas les noms des autres navigateurs “
Le 19/08/2016 à 14h40
Tester “127.0.0.1/|http://nextinpact.com”
Le 19/08/2016 à 14h47
En même temps, les gens reçoivent des mails en HTML et ne checkent donc pas les URLs. Et même si il y avait l’URL visible, je suis sûr qu’ils cliqueraient :)
Le 19/08/2016 à 15h03
Le 19/08/2016 à 15h07
C’était clair que l’internationalisation des noms de domaines ne se ferait pas sans failles.
Mais la textbox universelle qui fait recherche/adresse/commande, c’est carrément du “Defective By Design”.
Le 19/08/2016 à 15h11
Bizarre sur FF et Chromium , j’ai un connexion échouée
Le 19/08/2016 à 15h17
Je vais paraitre présomptueux, mais ce bug(it’s a feature), il me semble que ca fait déjà un certain temps que j’en avais entendu parler et qu’il avait été corrigé/re-designé depuis.
" /> 
" />
Je dirais par bluetouff, y’a un an ou deux si je ne me trompe.
Mais comme on est dredi, et que mes neurones accusent leur age, on va mettre ça sur le dos de alzheimer
Le 19/08/2016 à 15h28
Oui mais non, la faille est plus complexe, cette url ne déclenche pas le soucis, c’est un url « du même genre », utilisant des caractères se lisant de droite à gauche, qui pose problème. La méthode n’est pas publique.
Le 19/08/2016 à 15h30
De mémoire, il s’agissait effectivement d’un bug semblable, mais qui faisait planter les iphones à la réception d’un sms construit spécifiquement.
Le 19/08/2016 à 15h31
Sans doute parce que tu n’as pas de serveur web local ?
Le 19/08/2016 à 15h38
En fait, c’est un bug classique, connu, et qui réapparait régulièrement.
Bug ressemblant : avec les normes qui commencent à apparaitre pour autoriser l’utf8 dans les noms de domaine, on peut s’amuser à remplacer une lettre dans le nom de domaine cible par un caractère utf8 ressemblant (un “a” de facebook par un caractère très légèrement différent visuellement). Ne reste qu’à déposer le domaine en question…
Le 19/08/2016 à 15h47
Le 19/08/2016 à 15h49
Le 19/08/2016 à 18h33
IDN homograph attack
" />
Unicode character U+0061(Latin) –> a
Unicode character U+0430 (Cyrillic) –> а
Le 19/08/2016 à 18h43
Tc4pNItx3N (dans un miroir) 
" />
Le 19/08/2016 à 18h47
NЕХТІNРАСТ
" />
(seul le N est un vrai N)
Le 19/08/2016 à 18h49
ʇɔɐduıʇxǝu ?
Le 19/08/2016 à 19h18
Le 19/08/2016 à 19h35
Le 19/08/2016 à 19h52
Le 19/08/2016 à 20h05
Ah quand même, flippant…
Le 19/08/2016 à 21h12
J’écris toujours de bas en haut, ça évite les problème
" />
Le 19/08/2016 à 21h29
Vous avez essayez dans un environnement où l’écriture est de droite à gauche (par ex) ?
Le 19/08/2016 à 21h55
Le 19/08/2016 à 22h12
Le 19/08/2016 à 22h25
Le 19/08/2016 à 22h35
Chez moi je l’ai en faisant : altgr + ,
J’utilise l’agencement Français (variante).
Le 19/08/2016 à 22h40
Le 20/08/2016 à 08h40
Le 20/08/2016 à 09h02
“Mozilla, de son côté, a déjà corrigé le souci dans Firefox”
Le problème. Ils ont résolu le problème.
Le 20/08/2016 à 10h31
Quelle idée aussi, d’écrire de droite à gauche
" />
Le 20/08/2016 à 11h34
Il suffit d’injecter un caractère arabe? Encore un coup des arabo musulmans terroristes qui volent nos allocations et nos emplois.
" />
" />
Je propose que l’on interdise l’usage de l’arabe sur Internet !
Sainte Marine, protège nos navigateurs