mercredi 1 février 2006

Les IDN et Internet Explorer 7

Les IDN et Internet Explorer 7

Suite du billet d'avant-hier sur les IDN, ou domaines multilingues. Suite imposée par l'actualité, puisque j'ai posté « IDN : arnaque ou opportunité » la veille du jour où Microsoft annonce la sortie de la 2ème version beta d'IE7 :

La nouvelle a été postée hier sur le blog de Microsoft dédié à IE. Comme quoi c'est dans l'air du temps ! Ou alors c'est que je suis un peu en télépathie avec Bill ! :-)

Voyons donc quels sont les détails qui concernent la prise en charge des IDN et la navigation sécurisée pour faire face aux tentatives de phishing et de spoofing, autrement dit la pêche aux pigeons et les attaques homographes.
Concernant l'hameçonnage, tout en a déjà été dit ou presque, et on se demande encore comment tant de gens peuvent se faire appâter. Pour autant, IE7 prévoit un dispositif anti-phishing pour signaler automatiquement tout danger potentiel pour l'internaute :

Concernant les attaques homographes, c'est relativement plus récent puisque le boom de ce genre d'attaques remonte à début 2005. Observons par ailleurs que la plupart des infos disponibles en français sur les IDN s'arrêtent à cette époque et restent donc sous l'influence négative de ce phénomène d'usurpation d'adresse.

Or en un an, les choses bougent, surtout en informatique et sur Internet, et Microsoft explique dans le détail de quelle manière IE7 combat les lookalike attacks.
Je vais donc m'efforcer de décrire l'exemple en français, en prenant comme point de départ l'usurpation d'adresse de Paypal, dont le mécanisme est démontré sur le site de Secunia (en anglais), où il suffit de cliquer sur le lien ci-dessous

pour que s'ouvre une page avec l'adresse usurpée (si vous voyez apparaître http://www.xn--paypl-7ve.com/ dans la barre d'adresse, c'est que la fonction IDN de votre navigateur est désactivée).
Explication : le deuxième "a" est en alphabet cyrillique, valeur Unicode U+0430

et non pas en alphabet latin (valeur Unicode U+0061), comme nous l'avons vu dans mon précédent billet pour linéaires :

Copyright (c) Studio 92 Snc - 2006Différence parfaitement indétectable pour les navigateurs ignares que nous sommes ! Mais certes pas pour les machines :

Pourtant la parade à ce genre de problème est relativement simple, puisque lorsque vous enregistrez un IDN vous devez associer à chaque nom de domaine une langue, étiquetée comme langue d'enregistrement. Essayez d'enregister "linéaires" en l'étiquetant comme chinois, ça ne marchera pas. Donc dans le cas de Paypal, il suffit de rendre impossible l'enregistrement de caractères cyrilliques pour des noms ne comportant à l'origine que des caractères latins. CQFD !

La procédure est techniquement plus sophistiquée, c'est clair, mais cela donne déjà une idée de la façon dont le problème peut être géré. Et puisqu'on parle d'IE7, je terminerai ce billet en vous donnant un avant-goût de l'interface :

Seul "petit" souci pour l'installation, IE7 ne tourne que sur Windows XP SP2. Bonne navigation quand même (à ceux qui l'ont...) !


, , , , , ,