Quelqu’un s’est endormi sur ses deux oreilles. Désolée d’être un peu sévère, mais l’exploit permettant des attaques par URL contrefaite (« spoofing » suivi de « phishing ») qui fait le tour de la toile depuis le week-end est tellement évident et son principe tellement facile à comprendre qu’il n’est nullement nécessaire d’être informaticien. Avoir un dégré modéré d’expérience dans l’écriture sur le web suffit largement.
Tout repose sur le nouveau standard appelé IDN, pour noms de domaine internationalisés. Et sur les homographes. Je m’explique.
D’habitude, les homographes, ce sont des mots qui sont écrits de la même façon mais qui ont néanmoins des sens différents, comme tour dans Tour de France et dans Tour Saint Jacques. Dans le monde du web, on appelle ainsi également des lettres ou combinaisons de lettres qui ont le même aspect visuel mais sont quand même différents, parce qu’ils appartiennet à des systèmes d’écriture différents.
Dans l’exemple mis au point par schmoo (les auteurs de l’exploit), le nom de domaine utilisé s’écrit http://www.pаypal.com/. Le truc au milieu, le а, s’appelle une entité HTML. Si cet URL est passé à un navigateur moderne#[1], celui-ci transforme l’entité en la lettre qu’elle encode, c’est à dire а (et le domaine en pаypal.com, prétendant être le site bien connu de payement par le web). Cela ressemble à un a, n’est-ce pas? Mais comme on peut vérifier dans les pages de code Unicode (il faut transformer 1072, qui est un chiffre décimal, en son équivalent hexadécimal, 430), cette lettre est en effet le CYRILLIC SMALL LETTER A, le a minuscule de l’alphabet cyrillique. Et non le a de l’alphabet latin (LATIN SMALL LETTER A), qui s’encode a.
Les alphabets latin et cyrillique sont différents par définition. Donc, ces deux petits a ne sont pas les mêmes. Bien entendu, les URLs internationalisés sont un pas nécessaire sur le chemin vers un web international. Or, ne pas prendre en compte les homographes dans l’accès à des noms de domaines en caractères non-latins, cela mène à la situation cauchemardesque qu’il peut y avoir des multiples URLs qui sont visuellement identiques mais essentiellement distincts.
P.S.: Suiviez le premier lien vers le site de Stephanie et/ou mettez à jour votre navigateur préféré (Mozilla/Firefox a pris 12 heures pour sortir une version sécurisée) pour vos protéger. Encore plus fondamental: tapes toujours les adresses de sites sensibles (banques, institutions) à la main.
Note: J’ai d’abord écrit « homophones » dans le titre — tout en sachant très bien que j’allais parler d’homographes. D’ou ce permalien d’une laideur exorbitante.
[1]: … et comme Internet Explorer n’est pas moderne et ne comprend des noms de domaines que dans l’alphabet latin sans accents et diacritiques, il n’est pas affecté par cette faille de sécurité.
Billets connexes : What's your MP up to?, Merriam-Webster & Firefox, Multilingual, multilingue, mehrsprachig, flersproglig, amlieithog, 多言語, CAPTCHA gotcha, Language power-games, Mème alphabétique, Clouds of words
Technorati (tags): web
What’s even more embarrasing is the fact that when IDNs where proposed, this exploit was known, documented and proposals were made to remedy it. A very classic case of all the people who thought twice now being able to say “Told you so”.