Un chercheur pakistanais a mis le doigt sur une faille potentiellement dangereuse liée aux barres d’adresses des navigateurs, à commencer par Chrome et Firefox. La brèche est en cours de correction et a rapporté 5 000 dollars à son découvreur.
Rafay Baloch, chercheur en sécurité, a publié récemment dans un billet de blog certains détails sur sa découverte. Il y explique comment, dans l’API Omnibox de Chrome notamment, il est possible de profiter d’un bug dans la gestion des langues s’écrivant de droite à gauche.
Un joli cas de spoofing
En mélangeant des caractères « classiques » à des caractères neutres arabes ou hébreux par exemple, on peut amener le navigateur à se mélanger les pinceaux. Une adresse du type « 127.0.0.1/|/http://nextinpact.com » est automatiquement retournée pour devenir « http://nextinpact.com/|/127.0.0.1 ». Le danger se voit aisément : un individu peut faire croire à l’utilisateur qu’il va naviguer sur une adresse bien précise. Le chercheur précise qu’elle peut en particulier être utilisée pour déguiser un site malveillant en site paraissant authentique. Avec à la clé la récupération d’informations sensibles, comme on s’en doute.
Pour bien comprendre le problème, il faut imaginer qu’un pirate peut se servir de l’adresse IP d’un serveur qu’il contrôle et lui adjoindre un caractère neutre et le nom de domaine d’un service existant. Le lien peut alors être expédié sous n’importe quelle forme (email, SMS, etc.), le destinataire ne voyant alors qu’une adresse commençant par le nom de domaine. Mais c’est bien l’adresse IP qui est visée.
5 000 dollars de récompenses cumulées
Rafay Baloch indique que les détails de la faille ont été rapportés confidentiellement à chaque éditeur. Chrome et Firefox ne sont en effet pas les seuls touchés, mais il ne donne pas les noms des autres navigateurs, ni évidemment la méthode pour y exploiter le problème. Google travaille sur la faille, qui sera corrigée dans Chrome 53. Mozilla, de son côté, a déjà corrigé le souci dans Firefox 48, même si le fonctionnement de la brèche était légèrement différent.
Le chercheur précise en fin que la faille a été comptée aussi bien dans le programme de chasse aux bugs de Google que celui de Mozilla, lui rapportant au total 5 000 dollars.
Commentaires (39)
#1
Fallait y penser, mais pas si compliqué que ça à trouver comme bug
#2
Interessant à savoir.
" />
#3
Mais le nom du site reste en noir, alors que le reste d’url est gris clair…
Moralité, si y a rien de noir à gauche de votre barre d’adresse: fuyez!
#4
#5
#6
Au passage IE et Edge ne sont pas touchés !
" />
#7
#8
Pas si sur : “ Chrome et Firefox ne sont en effet pas les seuls touchés, mais il ne donne pas les noms des autres navigateurs “
#9
Tester “127.0.0.1/|http://nextinpact.com”
#10
En même temps, les gens reçoivent des mails en HTML et ne checkent donc pas les URLs. Et même si il y avait l’URL visible, je suis sûr qu’ils cliqueraient :)
#11
#12
C’était clair que l’internationalisation des noms de domaines ne se ferait pas sans failles.
Mais la textbox universelle qui fait recherche/adresse/commande, c’est carrément du “Defective By Design”.
#13
Bizarre sur FF et Chromium , j’ai un connexion échouée
#14
Je vais paraitre présomptueux, mais ce bug(it’s a feature), il me semble que ca fait déjà un certain temps que j’en avais entendu parler et qu’il avait été corrigé/re-designé depuis.
" /> 
" />
Je dirais par bluetouff, y’a un an ou deux si je ne me trompe.
Mais comme on est dredi, et que mes neurones accusent leur age, on va mettre ça sur le dos de alzheimer
#15
Oui mais non, la faille est plus complexe, cette url ne déclenche pas le soucis, c’est un url « du même genre », utilisant des caractères se lisant de droite à gauche, qui pose problème. La méthode n’est pas publique.
#16
De mémoire, il s’agissait effectivement d’un bug semblable, mais qui faisait planter les iphones à la réception d’un sms construit spécifiquement.
#17
Sans doute parce que tu n’as pas de serveur web local ?
#18
En fait, c’est un bug classique, connu, et qui réapparait régulièrement.
Bug ressemblant : avec les normes qui commencent à apparaitre pour autoriser l’utf8 dans les noms de domaine, on peut s’amuser à remplacer une lettre dans le nom de domaine cible par un caractère utf8 ressemblant (un “a” de facebook par un caractère très légèrement différent visuellement). Ne reste qu’à déposer le domaine en question…
#19
#20
#21
IDN homograph attack
" />
Unicode character U+0061(Latin) –> a
Unicode character U+0430 (Cyrillic) –> а
#22
Tc4pNItx3N (dans un miroir) 
" />
#23
NЕХТІNРАСТ
" />
(seul le N est un vrai N)
#24
ʇɔɐduıʇxǝu ?
#25
#26
#27
#28
Ah quand même, flippant…
#29
J’écris toujours de bas en haut, ça évite les problème
" />
#30
Vous avez essayez dans un environnement où l’écriture est de droite à gauche (par ex) ?
#31
#32
#33
#34
Chez moi je l’ai en faisant : altgr + ,
J’utilise l’agencement Français (variante).
#35
#36
#37
“Mozilla, de son côté, a déjà corrigé le souci dans Firefox”
Le problème. Ils ont résolu le problème.
#38
Quelle idée aussi, d’écrire de droite à gauche
" />
#39
Il suffit d’injecter un caractère arabe? Encore un coup des arabo musulmans terroristes qui volent nos allocations et nos emplois.
" />
" />
Je propose que l’on interdise l’usage de l’arabe sur Internet !
Sainte Marine, protège nos navigateurs