Risque

Usurpation d'adresse réticulaire (URL).

Systèmes affectés

Toutes les versions du navigateur Internet Explorer pour Windows.

D'autres navigateurs, comme Mozilla, sont partiellement affectés.

Résumé

Une vulnérabilité dans le navigateur Internet Explorer permet l'usurpation des adresses réticulaires (URL).

Description

Une fonctionnalité permet de placer un login et un mot de passe dans une adresse réticulaire, notamment dans le but d'utiliser le protocole ftp.

Par exemple :

ftp://anonymous:monmail\%40mondomaine@ftp.site.tld

Cette fonctionnalité est parfois détournée pour induire en erreur un internaute :

http://www.sitelegitime.tld@www.sitepirate.tld

L'adresse réticulaire semble pointer sur sitelegitime.tld alors qu'en fait il pointe sur sitepirate.tld. C'est visible, il suffit de chercher le symbole @ dans l'adresse reticulaire.


Une nouvelle variante permet de camoufler le symbole @ dans l'adresse réticulaire.

En insérant la chaîne de caractères %00 ou %01 devant le caractère @ dans une adresse réticulaire, il est possible de masquer une partie de l'URL.

Contournement provisoire

  • Appliquer des filtres au niveau des serveurs mandataires (proxies) afin de bloquer les adresses réticulaires contenant les chaînes %00 ou %01 ;
  • pour les sites utilisant le protocole HTTPS, vérifier, comme à l'accoutumée, que le certificat correspond au site que l'on est supposé visiter ;
  • il est préférable de saisir manuellement les adresses réticulaires, plutôt que de suivre un lien, en particulier pour les sites sensibles (téléprocédures, santé, banques, ...) ;
  • utiliser un navigateur non vulnérable.

Solution

Pour Internet Explorer, l'éditeur a publié un correctif. Se référer à l'avis CERTA-2004-AVI-020.

http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-020/index.html

Documentation

Base de connaissances Microsoft 833786 :

http://support.microsoft.com/?id=833786