Les noms de domaines non latins pourraient bien servir à vous voler

L'Unicode est très pratique car il permet de supporter simultanément plusieurs langues, apportant une compréhension internationale, favorisant la paix universelle et répandant un amour planétaire par les réseaux numériques.

Voilà pourquoi l’ICANN a décidé d’autoriser les noms de domaine utilisant des alphabets non latins.

Tout est parfait dans le meilleur des mondes. Du moins jusqu’au jour où l’Unicode servira à voler vos numéros de cartes de crédit.
Ou vos identifiants, vos mots de passe, et toutes les données qu’un site de phishing est capable de vous dérober.

Car jusqu’à présent, il y avait un moyen simple de vérifier si un site était authentique ou non: il suffisait de regarder son URL dans la barre d’adresse du navigateur. Si l’adresse n’est pas paypal.com ou ma-banque-en-ligne.fr, vous pouvez déjouer une imitation graphiquement parfaite.

Le problème apparaîtra en 2010, au moment où les URL des sites vont commencer à afficher des alphabets non latins comme le cyrillique. Regardez l’image ci-dessus, vous constaterez que le mot russe »raural » devient « paypal. » Vous voyez le problème? oui, il va falloir trouver des solutions avant que cela ne devienne ingérable.  [Masable]

Tags :
Dernières Questions sur UberGizmo Help
  1. Sujet plutôt préoccupant que j’avais également relevé lorsque l’iCann a accepté de supporter l’alphabet non latin (donc cyrillique, chinois, etc…) et que je suis comtent de voir aborder ici. Car le problème est bien réel. D’autant que, ironie du sort, nombre d’actes frauduleux viennent des pays de l’est et que l’alphabet russe permet – entre autre – de jouer sur pas mal de similitudes avec l’alphabet latin. C’est mega inquiétant !

    Ayant été l’objet d’un détournement de ma carte bleu sur le net et d’un hack d’une de mes machines locales tout récemment pour effectuer un phishing, je peux vous dire que je considère désormais que cela n’arrive pas qu’aux autres !
    J’attend de savoir comment l’iCann va réagir…

  2. @ squalyl : tu sous-estimes largement l’ingéniosité des fraudeurs et sur-estimes celle de la plupart des internautes dans la maîtrise de la configuration de leur matériel !

  3. @squalyl

    Ce n’est pas vrai.

    1) Un exemple avec le site d’e-commerce vente-prive et les caractères accentués :
    http://xn--venteprive-j7a.com est transformé dans les navigateurs en http://venteprivée.com
    Si ca marche avec les accents, je pense que ça le fera avec les autres caractères.

    2) Le temps que la mise a jour de l’hypothétique plugin (qui n’est pas installé par défaut avec le navigateur, et qui n’est pas compatible avec tous les navigateurs) des personnes auront été victime des escrocs.

  4. une fonction « afficher url non traduites dans barre d’adresse » fera son apparition. Et puis il reste le certificat verisign il me semble…

  5. Tout le monde ne pensera pas a cliquer sur un bouton pour verifier si le site est bien celui qu’il prétend, et je doute que Mr tout le monde comprenne que http://www.xn--l-7sba6dbr.fr n’est pas http://www.paypal.fr

    Un certificat pour s’assurer qu’on est bien sur le site raural… le pb n’est pas une usurpation d’identité, mais que les deux identités sont visuellement similaires….

  6. Et sans parler du phishing, dorénavant, quand on voudra se rendre sur un site, il faudra se rappeller s’il est écrit avec ou sans accent, et je vous raconte pas la galère pour taper des signes non présents sur le clavier, comme le « л » cité au dessus…

  7. @Moué : un certificat (provenant de n’importe quelle autorité de certification, pas besoin de faire de la pub pour l’un d’eux) n’est là dans ce contexte que pour tenter de certifier que le serveur qui répond est bien un de ceux qui sont sensés répondre pour ce nom de domaine. En théorie, rien ne m’empêche d’acheter un certificat à une de ces autorités pour le nom de domaine de mon choix, raural.com en cyrillique par exemple.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité