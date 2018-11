Un chercheur en sécurité de la firme chinoise Tencent Security Xuanwu Lab a mis en garde contre les attaques dites «par homographie IDN», qui peuvent cibler les utilisateurs d'appareils d'Apple n'ayant pas mis à jour leur logiciel. Cela se produit quand une personne malveillante enregistre un nom de domaine en utilisant des caractères Unicode qui ressemblent à des lettres latines standard.

L'expert a ainsi révélé que la lettre «d» affichée dans la barre d'adresse du navigateur web Safari d'Apple n'est pas toujours celle que l'on croit. Le nom de domaine peut en effet intégrer la lettre «dum». Faisant partie de l'alphabet latin étendu, elle ressemble à s'y méprendre à un «d». Elle peut être exploitée pour créer de fausses adresses web qui semblent être tout à fait officielles, comme celles de LinkedIn, Dropbox, Reddit, GoDaddy ou Wordpress. Le but: lancer une attaque de «phishing» (hameçonnage visant à subtiliser des données confidentielles). Le chercheur a par exemple réussi à enregistrer un faux nom de domaine pour iCloud, plateforme de synchronisation et d'hébergement d'Apple.

Cette vulnérabilité peut être exploitée sur les systèmes watchOS (Apple Watch) versions avant la 4.3.2, iOS (iPhone, iPad) avant 11.4.1, tvOS (Apple TV) avant 11.4.1 et macOS High Sierra (ordinateurs Mac) avant 10.13.5, avertit le chercheur. Le risque n'est pas limité puisque la lettre «d» apparaît dans l'adresse web de près de 25% des 10 000 principaux noms de domaine, avance l'expert. La façon la plus facile d'échapper à ce type d'attaque consiste à mettre à jour son appareil vers la version la plus récente du système d'exploitation. Dans le cas où l'installation n'est pas possible ou déconseillée à cause de l'ancienneté du terminal, il est aussi possible de copier l'adresse web et de la coller dans un autre logiciel, comme par exemple Microsoft Word, pour vérifier si la lettre «d» y apparaît différemment.

(L'essentiel/man)