Charlie Bataclan is a user on mamot.fr. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.
Charlie Bataclan @10415

Cette faille est impressionnante : vous croyez être sur apple.com mais en fait pas du tout D:
xn--80ak6aa92e.com/

Autre exemple ici : le navigateur croit que vous êtes sur epic.com
xn--e1awd7f.com/

Pour corriger cette grosse faille qui va ravir tous les sites de fishing :

-Sous Firefox : about:config puis network.IDN_show_punycode : TRUE

-Sous Chrome : attendez une maj :/

Apr 18, 2017, 12:42 · Web · 37 · 9

À noter que si vous utilisez un gestionnaire de mot de passe (et vous devriez !) avec auto-fill dans le navigateur, ces derniers sont protégés et n'entrerons pas vos identifiants sur ces fausses pages car ils remarquent la douille, ça vous met déjà la puce à l'oreille

Même le raccourcisseur d'URL de Twitter se fait berner, il affiche epic.com pour les deux sites mais Mastodon lui affiche les URL complètes.

Raison n°5468 qui prouve que Mastodon >>>>> Twitter mamot.fr/media/VfKqiU7t4u5hsHW

@10415 Et sous chrome je cherche encore comment afficher le certificat du site...

@fredenbois Pour l'instant il semblerait que le seul moyen d'être avertis sous Chrome est de télécharger une extension qui met un warning dès qu'un caractère unicode est utilisé dans l'URL

@10415 @fredenbois ça ne s'affiche pas en cliquant sur le cadenas vert (à côté des permissions)

@10415 Firefox 52.0.2 il me bloque la page sans rien activer. pouets.ovh/media/DEumbUufr5psY

@noName Non c'est normal c'est la vraie page, la personne qui a fait ce site de démo n'allait pas pousser le vice jusqu'à faire une copie du site d'Apple, c'est un avertissement que le webmaster lui-même a écrit

@10415 Oh merde. Ca c'est vraiment chaud. Merci pour le boost @Trollken

@10415 j'ai rien dit, je croyais que c'était bloqué mais non, c'est la page. c'est chaud... ^^ Merci pour l'info.

@noName Ah j'avais pas vu ton message x) Pas de soucis !

@bortzmeyer Euh tu as testé les liens au moins avant de dire ça ? ^^

@10415 Bien sûr. Cet article a zéro nouveauté, cela fait dix ans que ce "problème" a été présenté la première fois. Désolé d'avoir de l'expérience.

@bortzmeyer Ah mais je n'ai jamais dis le contraire hein x) Mais du coup je ne comprends pas ton reproche, en quoi informer les gens de ce danger et leur donner l'astuce pour s'en protéger c'est du "baratin" ?

@bortzmeyer Bah euh... si ?On croit être sur un site alors que non. Cette faille peut-être donc utilisée pour faire croire aux gens qu'ils sont sur paypal par exemple et les faire entrer leurs identifiants

@10415 Faut vraiment lire mon article, qui explique pourquoi ce raisonnement est faux.

@bortzmeyer J'ai lu, et je pense que ça ne peut pas faire de mal d'avertir pour mettre en garde

@10415 @bortzmeyer Et moi qui vérifie les barres d'adresse, je me ferais avoir pour le coup. Ou je serais sauvé uniquement parce que la CA est pas Apple. C'est pas à prendre en compte ?

@bortzmeyer @10415 bah c'est pas antinomique, et l'article ne démontre rien à part dire que le phishing n'utilise pas forcément ça, mais ça peut être utilisé pour renforcer l'attaque, oui ou non ?

@10415 @bortzmeyer le titre déjà "Le hameçonnage n'a pas de rapport avec les IDN" c'est marrant, je vais écrire un article "Le vol n'a pas de rapport avec les armes", disant que pour voler une barquette de jambon j'ai pas eu besoin d'arme, et j'en conclurais donc que les armes sont sans danger... Tu vois le truc ou pas ?

@maliciarogue Au niveau du navigateur tout de même un peu non ?

@10415 toujours pas. Enfin, sauf à tenir tout alphabet non anglo-saxon pour une faille. Jolie culturophobie :]

@maliciarogue En tous cas ce n'est (je trouve) pas très normal que le site xn--e1awd7f.com/ soit affiché "epic.com" dans la barre d'url

@10415 beh tous les gens dont c'est l'alphabet ne te remercient pas.

@10415 par ailleurs, je ne trouve pas très normal que tu aies une culture G numérique au ras-des-pâquerettes, mais je ne le dis pas à tout bout de champ pour autant. Bon, là c'est différent (special treatment, no need to thank me), je trouve ça insultant que sous prétexte "technique" et sans s'informer, tu traites certaines langues de "normales" et d'autres non. Sur ce, je te souhaite une bonne fin de journée et d'excellentes lectures genre bortzmeyer.org/idn-et-phishing

@maliciarogue Alors je n'ai pas le souvenir d'avoir dis cela mais si tu as interprété mes propos comme tels ça doit être que je me suis mal exprimé donc navré pour cela, j'en suis désolé :(
Le but de mon toot était surtout de mettre en garde les personnes qui pourraient se faire avoir par l'utilisation de ces caractères par des petits malins pour sous-tirer des informations si on ne prête pas attention.

@maliciarogue Pour le reste je trouve ton message assez méprisant, particulièrement pour le passage sur "ce n'est pas normal d'avoir une culture G numérique au ras-des-pâquerettes". Il y a beaucoup de gens qui ne sont pas forcément à l'aise avec le numérique, il n'est en aucun cas nécessaire de les mépriser pour autant, au contraire, ça risque même d'être contre-productif. Excellente journée également

@10415 à partir du moment où on méprise ma culture parce que Google a dit que mon alphabet, c'est du phishing, je ne vais pas tourner l'autre joue. Quant à ce que tu te permettes de juger, suite à ce seul message, de mes capacités à snober des gens "qui sont pas à l'aise avec le numérique", je t'invite à revoir ton jugement et à d'abord comprendre avant de prétendre sensibiliser. Sur ce, bonnes lectures.

@10415 le bon réflexe c'est ce vérifier l'identité du site en regardant le certificat SSL

Vouloir désactiver le punycode c'est juste faire marche arrière

Si je vais sur un domaine japonais je veux voir le voir en japonais, pas le punycode encodé dans l'url

@Tina @10415

Autant je suis content que tous les alphabets soient représentés, autant j'aimerais bien savoir comment du coup vérifier l'identité attendue du site, sans retaper l'URL dans le navigateur ? est-ce possible ? Comme beaucoup je regarde (visuellement) si l'URL est correcte… Là si je regarde le certificat rapidement (dans Firefox) je vois Lets Encrypt… le «bon» domaine. Il faut faire «Afficher le certificat» pour voir le punycode. C'est fastidieux pour vérifier non ?

@marcimat @Tina On est d'accord, d'où le potentiel danger qu'il peut résulter de cette utilisation du punycode

@marcimat @10415 @tina Sauf que pour y poser ton numéro de CB, tu as aussi intérêt à vérifier le type de certificat. Et clairement les certificat DV de Lets encrypt ne sont pas satisfaisant.

Maintenant, c'est vrai que pour gérer mes comptes sur https://dolibarr.example.org ou je met donc mon mot de passe , j'aimerais pouvoir rapidement identifier le Domaine validé.

https://ostatus.shnoulle.net/attachment/269270

@marcimat @Tina @10415 Euh normalement Letsencrypt ne supporte pas le punycode

@Tina Chose que malheureusement seul 0,2% des gens font :/ Mais dans l'idée je suis d'accord