Ah, pas moyen d’être tranquille — avez-vous la nouvelle dans « Sur le Web », commençant par « Secunia publie une alerte... » ?
C’est pourtant bien en vue sur la page d’accueil de Mozilla-Fan — « À la Une » tant qu’une nouvelle plus fraîche ne vient pas la déloger — et vous la retrouvez ensuite dans la colonne de gauche dans le menu « Nouveautés sur le Web ».
Si vous l’avez lue et si vous avez suivi le lien puis lu un article en français sur la question indiqué sur MozillaZine-fr, avez-vous trouvé une solution ?
Il y en a quelques-unes sur le forum de MozillaZine (en anglais) qui ont l’air de marcher dont deux sont simples et semblent efficaces. Ce sont des solutions provisoires en attendant que Mozilla.org concocte un correctif ou un bouclier ( ! ) — un Nightly Built est sorti (version en principe très instable) mais mieux vaut attendre quelque chose de plus officiel et accessible à tous...
Les solutions provisoires se trouvent dans trois extensions, AdBlock, Spoofstick édition revue et corrigée et IDN-Fix ; vous avez le choix entre ces extensions ou les utiliser toutes les trois. NB : Abdlock montre plus de discernement et IDN-Fix est la plus commode.
L’article en français dont vous trouverez le lien en suivant le lien Secunia... est d’ailleurs quelque peu controversé (voir les commentaires) mais ce qui semble admis c’est ceci :
Certains sites peuvent afficher une adresse fausse : par exemple l’URL de paypal.com — cela se voit difficilement, un caractère n’étant pas tout à fait le même que dans l’adresse du vrai site paypal.com.
Résultat : vous pensez être en train de donner votre numéro de carte bancaire à un site sérieux et sécurisé pour payer un objet acheté sur un site Web et c’est en fait un site pirate, déguisé en paypal (ou autre) qui récupère vos informations...
NB : Mozilla.org n’a rien à voir avec cette histoire. La responsabilité incombe aux services qui enregistrent les noms de domaine des sites Web (IDN = noms de domaines internationalisés).
Il ne s’agit donc pas d’une faille de Mozilla ni de Firefox même si Mozilla.org devra trouver une solution — impossible de passer par about:config pour arranger la chose dans Firefox 1.0 (dans sa version stable) : en effet, le paramétrage disparaît en fermant Firefox (eh, un bug ;-)
Ce que l’on peut en revanche reprocher à Mozilla.org — première déception de mozilla fan — c’est d’être remarquablement silencieux : la nouvelle apparaît sur le site mais vient de MozillaZine (en anglais puis dans la version française) :-(
Il est temps d’aller voir comment ne pas risquer de tomber dans le piège des spoofers (sites imposteurs) : Astuces pour Mozilla-Firefox.
D’autres explications et des expériences dans Spoofing, phishing, sécurité des internautes
