Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un bogue affectant Chrome et Firefox permet le spoofing de la barre d'adresse
Afin de faciliter des attaques d'hameçonnage

Le , par Coriolan

42PARTAGES

7  0 
Le chercheur en sécurité Rafay Baloch a découvert une vulnérabilité dans les navigateurs Chrome et Firefox qui permet aux cybercriminels de faire des manipulations de la barre d’adresse (spoofing), un moyen très souvent utilisé pour les attaques basées sur le déni de service. La vulnérabilité se trouve au niveau de l’omnibox, la barre de recherche conçue pour faire des suggestions de recherche, la prédiction d’URL, la recherche instantanée …

« L’équipe de sécurité de Google affirme elle-même qu’elle reconnait la barre d’adresse comme le seul indicateur de sécurité d’un navigateur moderne, et si ce seul indicateur pouvait être contrôlé par un hacker, il pourrait mener des attaques. Par exemple, il peut potentiellement pousser les utilisateurs à fournir des informations sensibles sur un site malicieux du fait qu’il peut facilement les persuader que le lien qu’ils visitent est légitime, puisque la barre d’adresse affiche le site web correct ».

Cette technique de spoofing de la barre d’adresse vient du fait que beaucoup de langues, comme l’Arabe et l’Hébreu, sont écrites de droite à gauche. Ces langues ont une mauvaise prise en charge de certains caractères Unicode, ce qui affecte la manière dont ils sont rendus avec un premier caractère (lettre d'alphabet) ou une adresse IP. Cela peut éventuellement permettre une usurpation d’URL. Baloch a remarqué que le fait de placer des caractères neutres comme “/”, “ا” dans le chemin de fichier cause une inversion de l’URL et l’affiche de droite à gauche. Cependant, pour que le spoofing de l’URL marche, l’adresse doit commencer par une adresse IP suivie par des caractères neutres, puisque l’omnibox considère les adresses IP comme une combinaison de chiffres et de ponctuation. Et puisque la direction de gauche à droite (LTR) n’est pas gérée proprement, l’URL entière est traitée et rendue de droite à gauche (RTL). On peut avoir les mêmes résultats en remplaçant l’adresse IP par un caractère comme une lettre d’alphabet par exemple.

Ainsi le navigateur affiche l’URL suivante 127.0.0.1/ا/http://example.com de cette façon http://example.com/ا/127.0.0.1

Cette technique est caractérisée par la facilité de son exploitation. Un hacker peut facilement implémenter un site d'hameçonnage et le lier à une fausse adresse. Ensuite les victimes seront amenées à visiter le site via des emails de spam, des SMS ou des messages, ne pouvant pas savoir que l’adresse en question est fausse. « L’adresse IP peut facilement être cachée dans les navigateurs mobiles en utilisant un long URL (google.com/fakepath/fakepath/fakepath/... /127.0.0.1) afin de rendre l’attaque plus réaliste », explique Baloch.

Firefox a été affecté par une vulnérabilité similaire. Cependant l’utilisation d’une adresse IP pour mener l’attaque n’a pas été nécessaire, le cybercriminel ayant seulement besoin d’un caractère RTL afin d’exploiter la vulnérabilité. Ainsi, au lieu d’afficher cette URL : http://عر&#1...test/test/test, les utilisateurs sont menés à google.com.

Google et Mozilla ont déjà résolu ce problème alors que les autres éditeurs travaillent sur une solution. Baloch a aussi informé qu’il a reçu 5000 dollars de Google pour avoir rapporté cette vulnérabilité.


Source : Rafayhackingarticles

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Bubonik software
Membre régulier https://www.developpez.com
Le 31/08/2016 à 11:17
C’est en effet astucieux d’exploiter les bugs de rendu Unicode, mais ça ne permet quand même pas d’afficher des URL complètement arbitraires. Cela dit, en faisant apparaître comme nom de domaine un élément qui n’en fait pas partie, et inversement, en reléguant le nom de domaine ailleurs dans l’URL, l’illusion est saisissante.
0  0