Actualité : Une faille de sécurité qui ne touche pas Internet Explorer !

Saviez-vous que...
Sur la Lune, les cosmonautes de Apollo 15 ont laissé une statuette de 8,5 cm et une plaque pour commémorer la mémoire des astronautes morts dans la conquête de lespace.

Actualité

» Accueil

» Archives

» Top Lézard

» Fil de presse

» Nouvelles au hasard

» Affichez nos nouvelles

Débat

» Comment suivez-vous les Olympiques de Pékin ?

Interactif

» Devenir un Lézard

» Forums

Jeux

» La liste des jeux

Au hasard:

X-Bound

Autres Sections

» Antivirus

Le Lézard

» Contactez-nous

Partenaires

» Tous les partenaires

5 au hasard:

Le Lézard, c'est de l'actualité technologique, informatique, des sciences et d'Internet. Nos sections forums et jeux flash font également l'unanimité.

Une faille de sécurité qui ne touche pas Internet Explorer !

Les failles de sécurités affectant de nombreux navigateurs à la fois ont été récemment découvertes et elles touchaient habituellement tant Firefox qu'Opera et Internet Explorer. La dernière faille de sécurité découverte touche par contre cette fois-ci presque tous les navigateurs les plus populaires sauf Internet Explorer.

La faille se situe au niveau de la reconnaissance des noms de domaines internationaux. Ce système permet de créer des noms de domaines qui comportent des caractères autres que ceux du format ASCII classique (caractères latins sans accents). Il permet donc de créer des noms de domaines avec des accents et avec les caractères arabes, chinois, russes, etc.

Ce type de nom de domaines a été adopté par l'ICANN (Internet Corporation for Assigned Names and Numbers) qui gère l'assignation des noms de domaine et validé en 2003 par l'IETF (Internet Engineering Task Force) qui définit les principaux standards d'Internet.

La faille permet de faire apparaître un site qui aurait l'adresse pàypal.com comme étant paypal.com et pourrait ainsi cacher un faux site qui amasserait les informations personnelles des usagers en leur faisant croire qu'ils sont sur le véritable système de paiement électronique Paypal. Afin de contrer ce phénomène, Secunia (une firme de sécurité informatique qui liste les failles de sécurités des logiciels) recommande de ne pas suivre les liens qui ne proviennent pas de sources sûres.

Les navigateurs affectés sont Firefox 1.0, Mozilla 1.7, Safari 1.2.4, Konqueror 3.22, OmniWeb 5.1, Opera 7.54 et leurs versions antérieures. Internet Explorer, le navigateur présentement le plus utilisé, n'est pas touché tout simplement parce qu'il ne prend pas en compte ce standard puisqu'il date d'après son propre lancement.

Publié le 08/02/2005 à 15h00 par Jean-François Gélinas

À lire aussi: Téléchargez à vos risques Un ver qui se propage par MSN Messenger	Sources: secunia.com zdnet.fr
Nouvelle précédente: Un réveil-matin casse-tête	Nouvelle suivante: Le Sony PSP disponible dès le 24 mars en Amérique du Nord

28 commentaires:
Voir/Cacher le bloc de commentaires

Après 30 jours, il n'est plus possible de placer un commentaire.

NesTle21 écrit le mardi 08 février 2005 @ 15h13:55
	IE avec l'adresse exemple http://www.españa.com dans la barre d'addresse marche mais les liens de site en marche pas

barbatruc écrit le mardi 08 février 2005 @ 15h31:42
	Internet Explorer, le navigateur présentement le plus utilisé, n'est pas touché tout simplement parce qu'il ne prend pas en compte ce standard puisqu'il date d'après son propre lancement. Je me disais aussi...

Styxxx écrit le mardi 08 février 2005 @ 15h40:21
	Je trouve que faille de sécurité nest pas vraiment approprié, cest plutot une fraude que le monde peuvent faire a cause d'une feature présente dans les navigateurs concerné. Il me semble qu'une faille cest davantage un 'bug' dans le programme qui permet une utilisation anormal pour nuire aux utilisateur.

Baloo écrit le mardi 08 février 2005 @ 15h56:17
	ouin, c'est kool pour une fois que MS n'est pas toucher :O)

LePBP écrit le mardi 08 février 2005 @ 16h15:34
	Styxxx: c'est une faille de sécurité parce que justement quelqu'un de mal intentionné pourrait en profiter pour arnaquer quelqu'un... entk ils appelle ca du spoofing eux... ils appellent ben ca comme ils veulent hein?

Styxxx écrit le mardi 08 février 2005 @ 16h33:44
	Bah spoofing, je connais c terme, on lutilise égalment quand on change son adresse IP sur irc en passant par un proxy non proteger... Mais en sois je vois mal comment on peut considéré un option du furteur comme une faille... 'piège a con' rendu la serais une bonne traduction de 'spoofing'.

po134 écrit le mardi 08 février 2005 @ 16h49:28
	ce qui m'amène à vous rappellez que M$ nest pas le seul à être bourré de faille, cest juste que aucun hacker ne veut hacker apple, vue que presque personne là ! je suis sûr quil y en a de grosses failles ... c'était la même chose avec FireFox, mais depuis que le monde le "croit" plus sécuritaire ... ;)

perdu écrit le mardi 08 février 2005 @ 17h04:58
	Il est quand même encore mieux qu'IE Firefox. Tsé quand un navigateur a moins de faille, faut croire qu'il est plus sécuritaire. Maintenant, sur Le Lézard, 19.2% des visiteurs ont Firefox, contre 72.6% pour IE. Pour qu'IE subisse une baisse de 10% en même pas 6 mois, il faut que Firefox et les autres ait prouvé qu'ils sont au moins pareil ou mieux, sinon le monde n'aurait pas changé...

j'ai bien aimer un commentaire que j'ai lu ailleur
An exploit is found in a Gecko based browser:
"oh well its only a bug."

An exploit is found in IE:
"use firef0x!!!1"
"micro$oft iz teh sux0r!"

etc lol

ca vien lassant et pas mal le meme ici

perdu laisse leur le temps ;)
le monde commence a peine a s'interreser a Firefox
certain expert commence deja a predire les premier spyware/hijacker pour firefox cette année

oui, mais la différence je le redit, tu as 100 programmeurs payés par Microsoft pour patcher les trous et 100 000 membres de la "communauté" qui epuvent corriger le bug... Par contre, Microsoft étant habitués à patcher ils s'en foutent de sortir une patch le mardi pour un bug datant du mercredi passé alors que les développeurs de Firefox auraient peur de sortir une version 1.02 pour des bugs parce que ca paraitrait mal (la 1.0.1 est en route par contre) il faudra souvent attendre une version 1.5 ou qqchose du genre...

si comem tu le dit les pirates commencent à s'intéresser à Firefox on se doute que (tout comme Opers) la mentalité va changer et on va avoir des numéros de build bizarres (Opera 7.54u)

Quand tu fais ton choix pour la sécurité d'un navigateur, tu le fais pour l'instant même. Si plutard le nouveau navigateur Lezardino est plus sécuritaire et mieux, ce sera celui là que je choisirai au lieu de Firefox. J'encourage pas Firefox seulement parce que c'est open source, mais plutôt parce que le produit fini est plus légé, nouveau et rafraichissant et je fais exactement les mêmes utilisations qu'avex IE.

Mais pour les commentaires anti-microsoft, je trouve ça ridicule de dire que si c'Est microsoft = c'est de la merde, utilisez plutot l'Open Source parce que c'est pas microsoft qui le fait... Dans leur mentalité, Open-Source = Qualité...

Désolé mais cette mentalité je la trouve ridicule autant que dire que si y'a plus de monde qui aime ça, c'Est que c'est mieux.

Loooll. Il n'y a pas de faille pantoute là dedans! C'est comme WhiteHouse.com VS WhiteHouse.gov... c juste l'utilisateur qui se fait prendre au jeu... Je trouve que l'on étend un peu trop la définition de "faille"... Si c'était réellement une faille, il y aurait une solution pour la régler... Quoi faire?? faire en sorte que "pàypal.com" renvoie "paypal.com"?? À quoi ça sert alors ce nouveau standard??

Chriz écrit le mardi 08 février 2005 @ 21h07:58
	LePBP: Si je vais un site: www.aaa.com qui est identique à paypal et que je fourre du monde de même... c'est une faille??? Comment régler le problème au niveau logiciel alors?? insérer une ligne de code du genre: if site="www.aaa.com" then don't load???

Chriz tu veut que je te ressorte tellement de faille du genre sur IR ou tout le monde de Firefox disait c'est de la marde IE ....
c'est une faille autant d'un cote comme de l'autre
IE l'est aussi si tu install le plugin de verizone pour aller sur les site avec des caractère speciaux

une faille c'est une faille si mon char part pas a -40 c'est un trouble si le char du voisin a le meme probleme c'est un trouble aussi...

Michel Walsh écrit le mercredi 09 février 2005 @ 08h16:51
	Les "failles" de IE dont bien du monde aimaient bien se faire aller la boîte à musique sont bien souvent du même ordre... maintenant que cela touche leur "chouchou" faudrait plus appeler cela une faille? Quoiqu'il en soit, on peut toujours essayer de faire passer un l (elle) pour un 1 (un) et un 0 (zéro) pour un O

Michel Walsh écrit le mercredi 09 février 2005 @ 08h27:32
	À noter que Microsoft vient de lancer 8 patches critiques (le 8 février), dont au moins une est pour IE.

Si l'imbécilité et l'inexpérience d'un utilisateur est une faille, ben coudonc, on vient de redéfinir le mot faille.
Nestle21: si j'ai 2 char quasi-identiques parkés dans un stationnement et que au lieu d'embarquer dans le mien, j'embarque dans un autre... c'est une faille?? non, c un manque de ma part! Même chose alors entre se tromper de site! Pourquoi alors avoir rajouté la fonction acceptant ces caractères? il est où l'avantage?
Michel Walsh: Donne-nous donc un exemple de ce type de "faille" stupide retrouvée chez IE?
Microsoft Word vient de m'afficher un 1 au lieu d'un l ... est-ce une faille? Nan! c pcq chu un cave qui vient s'appuyer sur 1.

Entierement daccord avec le fait que OSS egale pas nécessairement qualité.
Cependant...

C'est faut de penser que MS a en ce moment 100 programmeur sur IE 6, avec Longhorn qui arrive, c'est plus proche du zero que du 100 ;)
Ce que j'aime du Open Source Software, c'est le fait que ya aucune(ou tres peu) technologie propriétaire, c'est un travail dit "always work in progress".
Dans beaucoup de cas, le travail est abusivement structuré dû au fait que l'équipe de travail peut etre grosse et éloigné. Ca donne comme résultat que le principe de la boite noir(prog objet) d'être ultra bien appliqué.
C'est aussi très simple pour M. ToutleMonde d'avoir une idée géniale sur les browser et d'en informer le projet et qu'en bout de compte l'idée face sont bout de chemin et soit introduite dans le programme.

Le plus important selon moi :
La compétition est la base du dynamisme dans les TI.
Pendant la période de monopole de IE, on a vue très peu d'innovation apparaitre dans IE. Et ca c'est autant de la faute à MS qu'a ces compétiteurs...sérieusement..Netscape Comm, ca valait pas 2 peannut.

Chriz écrit le mercredi 09 février 2005 @ 09h53:07
	Essaye tu de me dire que je me suis fait fourrer en donnant un sac de kripsy pour avoir Netscape?? ;) Non sans joke, si cest une faille, on devrait sattendre a avoir une patch, right?? Je check mes updates dans les 2 prochaines semaines...

Chriz: l'esprit de la faille est que le navigateur "essaie" des alternatives à un input erronné. Il ne devrait pas.

L'utilisateur NE PITONNE PAS pày, il CLIQUE sur le lien. Or, le site pày n'existe pas et, c'est là que semble être la faille, du moins, de ce que j'en comprends, le nagivateur ESSAIE AUTRE CHOSE, nommément, rejoindre le site pay (simple illustration) alors qu'il devrait produire un 404.

Chriz écrit le mercredi 09 février 2005 @ 19h26:13
	Je crois que tu te trompes Michael Walsh... tape pàypal.com VS paypal.com et voit ce qui arrive...

LePBP écrit le mercredi 09 février 2005 @ 21h34:23
	ouin Michel Walsh c'est comme les sites pornos qui utilisaient les mauvais orthographes de sites pour enfants... c'est grave ca!

Chriz j'espere que tu va faire ta part dans les faille que IE va avoir ;)
la pluspart des faille de Windows sont en grande partie des probleme d'un utilisateur ouvrant un fichier ou lisant son mail pourtant le monde considerais ca comme etant des faille :P
c'est l'utilisateur qui cree encore les probleme donc pas un bug :P

dans el cas de Sasser ou Blaster c'est des bug mais est-ce qu'il y en as tan que ca dans windows surtout quend c'est faille al etais patcher 2 semaine a l'avance lol

LePBP écrit le jeudi 10 février 2005 @ 00h53:38
	Note d'intérêt public, le plug-in implantant l'IDN dans Internet Explorer est aussi touché par cette faille dans ce nouveau message de Secunia http://secunia.com/advisories/14209/

NesTle21 écrit le jeudi 10 février 2005 @ 09h54:39
	IE l'est aussi si tu install le plugin de verizone pour aller sur les site avec des caractère speciaux j'espere qu'il ne vien pas juste de s'en rendre compte mais pas grand monde qui on le plugin installer :P

LePBP écrit le jeudi 10 février 2005 @ 14h35:57
	Le bug est corrigé dans les derniers builds de Firefox.. bien sûr pas disponible pour le grand public encore, mais ca a été rapide pareil (12h selon les programmmeurs)

NesTle21 écrit le jeudi 10 février 2005 @ 18h11:42
	" Firefox and Mozilla builds for last night repair the disableIDN toggle functionality so that it works as designed." le bug est pas fixer mais la fonction pour desactiver le support international est fonctionel lol pas un fix final mais temporaire ;)

@Chriz
T'as pas bien lu l'article, le problème c'est que l'adresse est "pàypal.com" mais que le navigateur affiche "paypal.com", donc tu ne peux pas voir la différence.
Donc c'est vraiement une faille, mais qui vient surtout de la norme IDN. Pour une fois, IE s'en tire bien en ne respectant pas les standards.

Mais bon, on ne choisi pas un navigateur que sur sa sécurité, sinon ça ferait longtemps que IE serait rendu aux oubliettes ...

Partenaires: Biz-affaire.com - Emploi Santé - AutoAubaine - LogisQuébec - Maisons en bois rond