lundi 14 février 2005
Réponse de la fondation Mozilla à l’attaque par imitation d’IDN homographes
La semaine dernière, nous rapportions que Mozilla était vulnérable à l’attaque par imitation par des homographes en utilisant les
noms de domaine internationalisés (IDN pour International Domain Names). Aujourd’hui, Gervase Markham, agissant au nom des staff@mozilla.org et drivers@mozilla.org, a annoncé la réponse à court terme de la fondation Mozilla. Dans les prochaines versions de Mozilla Firefox 1.0.1 et Mozilla 1.8 bêta, le support des IDN sera désactivé (bogue 282270). Pour ceux des utilisateurs qui en ont besoin, un XPI sera publié pour réactiver le support des IDN (bogue 282269).
C’est manifestement une solution insuffisante sur le long terme et on peut espérer qu’un meilleur correctif pourra être développé à temps pour Firefox 1.1. Pour l’instant, la fondation Mozilla (et d’autres vendeurs de navigateurs tels qu’Opera Software) soutiennent que le problème est principalement la faute de la conservation des registres de noms de domaine et des registrars qui laissent des gens enregistrer des variantes homographiques de noms de domaine existants (les directives de l’ICANN mettent spécifiquement en garde contre cela). Davantage de discussion du problème et d’éventuelles solutions peuvent être trouvées dans le bogue 279099 (veuillez ne pas ajouter de commentaires inutiles à aucun des bogues liés à cet article).
Mise à jour : Gerv a un article de suivi clarifiant le changement et les solutions probables à long terme. Il confirme aussi qu’il y aura une version de Mozilla 1.7.6 avec les IDN désactivés. Netcraft a aussi un bon reportage soulignant le problème et la solution temporaire (notez qu’en dépit de ce que Netcraft dit, cet article n’est pas un avis officiel de la fondation Mozilla).