Piratage

21 novembre 2018 07:45; Act: 21.11.2018 07:45 Print

Utilisateurs Apple mis en danger par la lettre «d»

Les possesseurs d'appareils à la pomme au logiciel obsolète peuvent être victimes d'une attaque qui tire profit de l'adresse web affichée dans le navigateur Safari.

storybild

Le caractère «dum» ressemble à la lettre «d». (dr)

Une faute?

Un chercheur en sécurité de la firme chinoise Tencent Security Xuanwu Lab a mis en garde contre les attaques dites «par homographie IDN» qui peuvent cibler les utilisateurs d'appareils d'Apple n'ayant pas mis à jour leur logiciel. Cela se produit quand une personne malveillante enregistre un nom de domaine en utilisant des caractères Unicode qui ressemblent à des lettres latines standard.

L'expert a ainsi révélé que la lettre «d» affichée dans la barre d'adresse du navigateur web Safari d'Apple n'est pas toujours celle que l'on croit. Le nom de domaine peut en effet intégrer la lettre «dum» (ꝱ). Faisant partie de l'alphabet latin étendu, elle ressemble à s'y méprendre à un «d». Elle peut être exploitée pour créer de fausses adresses web qui semblent être tout à fait officielles, comme celles de LinkedIn, Dropbox, Reddit, GoDaddy ou Wordpress. But: lancer une attaque de «phishing» (hameçonnage visant à subtiliser des données confidentielles). Le chercheur a par exemple réussi à enregistrer un faux nom de domaine pour iCloud, plateforme de synchronisation et d'hébergement d'Apple.

Plusieurs systèmes concernés

Cette vulnérabilité peut être exploitée sur les systèmes watchOS (Apple Watch) versions avant la 4.3.2, iOS (iPhone, iPad) avant 11.4.1, tvOS (Apple TV) avant 11.4.1 et macOS High Sierra (ordinateurs Mac) avant 10.13.5, avertit le chercheur. Le risque n'est pas limité puisque la lettre «d» apparaît dans l'adresse web de près de 25% des 10'000 principaux noms de domaine, avance l'expert.

La façon la plus facile d'échapper à ce type d'attaque consiste à mettre à jour son appareil vers la version la plus récente du système d'exploitation. Dans le cas où l'installation n'est pas possible ou déconseillée à cause de l'ancienneté du terminal, il est aussi possible de copier l'adresse web et de la coller dans un autre logiciel, comme par exemple Microsoft Word, pour vérifier si la lettre «d» y apparaît différemment.

(man)

L'espace commentaires a été désactivé
L'espace commentaires des articles de plus de 72 heures est automatiquement désactivé en raison du très grand nombre de messages que nous devons valider sur des sujets plus récents. Merci de votre compréhension.

Les commentaires les plus populaires

  • peter le 21.11.2018 08:21 Report dénoncer ce commentaire

    Application du standard

    Ce nest pas un bug dapple: ils ont simplement appliqué les standards web dans ces versions de navigateurs. Ces standards permettent davoir des sites avec des caractères unicode, utile pour les marchés asiatique, arabe et tout ceux qui nutilise pas notre set de caractères habituels. Très vite, des petits malins ont commencé à faire ces sites ou adresses mail avec caractères unicode. Tel que larticle est écrit, cela indique que cest un bug dapple, mais cest pas vraiment le cas! Ils ont juste implémenté un standard web.

  • Benoît le 21.11.2018 08:23 via via Mobile Report dénoncer ce commentaire

    Que les anciens pourquoi ?

    ça aurait été bien d'expliquer pourquoi ça ne fonctionne que sur les anciens appareils et pas les nouveaux ?

  • Anne Onhym le 21.11.2018 11:32 Report dénoncer ce commentaire

    C'est un bug.

    @Peter: le navigateur Safari met en valeur et accentue les subtilités des caractères "ressemblants" aux caractères latins lorsqu'ils sont utilisés dans un nom de domaine, afin de faciliter la détection d'une éventuelle supercherie. La lettre 'dum' fait figure d'exception car Safari l'affiche sans le signe (apostrophe basse) qui la caractérise et la différencie de la lettre 'd'. Dans la mesure où c'est le seul caractère qui semble être affecté (à l'opposé de la centaine d'autres), cela contredit quelque peu votre hypothèse du "non-bug". Il me semble qu'il s'agit ici d'un bug...

Les derniers commentaires

  • Kaya M le 21.11.2018 12:18 Report dénoncer ce commentaire

    En même temps...

    Y a quand une sacrée différence entre le "d" et le"dum". Notez que dans le genre caractères médiévaux il y a d'autres pièges IDN avec la lettre D.

  • Anne Onyhm le 21.11.2018 11:37 Report dénoncer ce commentaire

    Pourquoi pas les "anciens" appareils...

    @Benoit: Apple a corrigé le bug en modifiant la façon dont la lettre 'dum' est affichée. La nouvelle version met l'accent sur l'apostrophe basse qui caractérise cette lettre, et permet de visuellement la discerner de la lettre latine 'd'. Concernant la disponibilité: la faille a été corrigée dans iOS 11, ce qui exclut les équipements qui ne supportent pas cette version d'iOS (ou sur lesquels l'installation a été refusée).

  • Anne Onhym le 21.11.2018 11:32 Report dénoncer ce commentaire

    C'est un bug.

    @Peter: le navigateur Safari met en valeur et accentue les subtilités des caractères "ressemblants" aux caractères latins lorsqu'ils sont utilisés dans un nom de domaine, afin de faciliter la détection d'une éventuelle supercherie. La lettre 'dum' fait figure d'exception car Safari l'affiche sans le signe (apostrophe basse) qui la caractérise et la différencie de la lettre 'd'. Dans la mesure où c'est le seul caractère qui semble être affecté (à l'opposé de la centaine d'autres), cela contredit quelque peu votre hypothèse du "non-bug". Il me semble qu'il s'agit ici d'un bug...

  • Focus Quantum Nightly le 21.11.2018 11:18 Report dénoncer ce commentaire

    Voilà maintenant tu sais tout

    Pour @Legio... Chrome :o)D Faut le dire doucement et faut oser l'utiliser. Convivialité = 0. On reprend. Chrome pour toi c'est la base, pour moi c'est le en-dessous de tout. Safari c'est le juste milieu et le plus stable pour Apple et Firefox le sommet surtout en version beta, sans historique et sans cookies.

  • Jaime Riehr le 21.11.2018 10:47 via via Mobile Report dénoncer ce commentaire

    celle-là elle est pour ma pomme

    Au clou !