Le problème de sécurité découvert repose sur l'internationalisation des noms de domaines. En effet, seuls les noms de domaines contenant des caractères ASCII sont supportés par les registrars.
Ainsi, il n'est pas possible d'enregistrer un nom de domaine avec des accents ou des caractères spéciaux. Pour contourner en partie ce problème, l'ICANN a récemment décidé d'adopter l'IDN (Internationalized Domain Names).
C'est en quelque sorte une manière d'écrire des caractères spéciaux avec uniquement des caractères ASCII. Evidemment, seuls les navigateurs adaptés pourront comprendre ces noms de domaine internationaux.
Ainsi, en jouant avec les caractères internationaux, il est possible, pour un webmaster malveillant de construire un lien, en apparence légitime, qui pointe vers un site piégé. L'utilisateur n'y voit que du feu.
Cette attaque ne fonctionne que si le navigateur de la victime est compatible avec les noms de domaines internationaux. C'est le cas des butineurs récents tels que Firefox, Mozilla, Safari mais pas Internet Explorer car par défaut, le navigateur de Microsoft ne support pas l'IDN !
Pour le moment aucune solution n'est disponible. Mozilla planche sur une solution « durable », en attendant il est conseillé de désactiver le support IDN. Et comme toujours, gare où vous cliquez !
Flux Rss
Version PDF
Commenter 
Eric Johanson, membre du groupe Shmoo (airsnort) a découvert une faille, pour le moins originale dans Mozilla, Firefox, Camino, Opera, Safari, Omniweb et Konqueror. Mais pas dans IE! Elle pourrait faciliter les attaques par « phishing ». L'usurpation d'adresses et de certificats SSL serait possible. 
