Phishing : Firefox n’est plus un navigateur pour Madame Michu

La contrefaçon de sites et le phishing sont devenus le lot commun de l’Internet. J’en parlais hier soir dans un billet où j’expliquais comment ma femme s’est fait malencontreusement piéger. Et j’avoue que je ne m’attendais pas à ce que Mozilla et Firefox se fassent les complices de tous ces tordus. C’est par l’excellent site Blogmotion que j’ai appris cette histoire de Punycode. Contrairement aux autres navigateurs, pour une raison que la raison ignore, Firefox autorise le format internationalisé qui vous fera croire hélas que le site https://www.xn--80ak6aa92e.com se traduit en https://www.apple.com. Vous pouvez le vérifier en cliquant sur le lien, hélas, à partir de votre Firefox.

Il aura donc fallu attendre la version 62 du navigateur pour que nous puissions corriger le comportement du navigateur qui jette les internautes en pâture sur des sites frauduleux. Et figurez-vous que ces imbéciles de la fondation Mozilla – il n’y a pas d’autre expression – n’ont pas activé l’option par défaut. Autrement dit, encore aujourd’hui, vous vous ferez piéger avec la dernière version du navigateur en cliquant sur le lien https://www.xn--80ak6aa92e.com. En l’état, nous ne pouvons plus décemment conseiller Firefox aux utilisateurs. Seule une petite partie des utilisateurs peuvent prétendre aujourd’hui à naviguer de manière sécurisée avec Firefox. Mozilla a réussi à faire de Firefox la nouvelle poubelle des navigateurs en matière de sécurité informatique !

Activer le punycode

Après avoir tapé dans la barre d’adresses about:config, tapez punycode dans la zone de recherche et passez à true la valeur network.IDN_show_punycode.

Phishing : Firefox n'est plus un navigateur pour Madame Michu

Firefox  / Firefox Formateur Sécurité informatique Sécurité informatique 

Commentaires

Merci pour cette pépite, je ne connaissais pas !
C’est vraiment un truc de malade ?!

Pourquoi un tel option existe ? Et surtout aucun moyen de le voir avec le certificat HTTPS !

C’est vraiment fou cette histoire, tout comme vous je viens de perdre toute confiance dans Firefox…

Merci Denis !

Bonjour,

Ça devient agaçant cette chasse aux sorcières sur Firefox.
On l’oublie trop rapidement, mais il a énormément apporté à la navigation Web telle qu’on la connaît. (Précurseur sur le hmtl5 par exemple depuis la version 16, synchro de tous les paramètres, envoi d’onglet de machine à machine, utilisation et création de modules supplémentaires et dernièrement l’activation d’un mode de protection contre le pistage).

Alors oui il faut faire les mises à jours pour corriger des failles, des bourdes et des bugs. Mais comme tous les softs installés sur son pc. C’est valable pour tous les logiciels.
Firefox sur Linux et Windows disposent des MAJ dès que la version finale est sortie pour info.

Vous indiquez que cela a été corrigé dans la version 62. Elle est sortie fin juin 2018 (le 26) sauf erreur de ma part) et votre article le 21 septembre 2018. Repris d’un autre du 18/09.

C’est bien vu aujourd’hui de tirer à boulet rouge sur Firefox, c’est la mode du moment.
La reprise de ce genre d’article est courante. Malheureusement ça marche, Firefox perd beaucoup d’utilisateurs (pardon de part de marché pour les auditeurs de TF1) et donc de mécènes, il est probable qu’il ne se relèvera pas de cette chute.
Dans sa dernière de couverture de son mag d’été, Planète Linux s’en émeut et craint la disparition de ce navigateur qui a tant apporté (n° de Juin-Juillet 2018 de mémoire).

Je me fais un devoir de l’installer sur tous mes pc, et en mode portable au travail pour ne pas avoir à utiliser Edge et autres.
Sur la gestion des ressources et la rapidité il est loin d’être le plus mauvais.
Il est Open source, et là tout est dit.
Que font les autres navigateurs de vos données et de votre sécurité si précieuse ?

Ce n’est peut-être pas un navigateur pour Mme Michu, mais ce n’est pas un navigateur pour moutons non plus.

Vous trouverez sûrement cette réponse un peu militante (c’est pas faux), mais une part de vérité sera rétablie.

@Arnog

Donc finalement, si Firefox perd des utilisateurs, c’est de la faute de ceux qui expliquent comment se protéger de ses manques, de ses failles.

Rien n’a été corrigé dans la version 62 puisque le punycode n’est toujours pas activé par défaut. J’ai testé aujourd’hui avec mes stagiaires en cours de sécurité. Seul Firefox se comporte de la sorte vis à vis des formats internationalisés. Même, avec IE, un utilisateur ne pourra pas se faire piéger.

J’avais vu l’article sur blogmotion à propos de ça..
Tout comme toi denis, je trouve ça dingue que cette option ne soit pas activée par defaut.. Firefox encore le vilain petit canard de l’histoire.

@Arnog : L’option est en false par defaut sous Nightly (donc version 64 à l’heure actuelle)

@Sani

On est d’accord. Mais c’est nous qui avons tort ! ;+)

Et donc, que faut-il utiliser comme navigateur ? Parce-que à ce compte là, autant arrêter internet en fait.

@François

Firefox, quand même ! Parce que c’est le pire à l’exception de tous les autres… ;+)

@ Denis

Bonjour,

Je ne dis pas ça non… Par contre ils peuvent signaler ce PB à Mozilla pour qu’il le corrige par exemple.

https://bugzilla.mozilla.org/

@Arnog

Ok. Je pense qu’ils sont au courant ! ;+)

Oui Mozilla est au courant depuis 14 ans déjà !
https://bugzilla.mozilla.org/show_bug.cgi?id=279099

Ce n’est pas un bug. C’est un choix de Mozilla:
https://wiki.mozilla.org/IDN_Display_Algorithm

Blog qui a relancé la news:
https://www.xudongz.com/blog/2017/idn-phishing/

@Jerry

Et, en plus, nous avons à faire à de vrais tordus !

bonjour
merci pour cette superbe information,le pire c’est que Qwand nous conseil firefox.. comme quoi magouile est compagnie sont en version sous marin!
Encore merci pour tout !
Dominique

@Tyzf29

Je vous conseille de lire ce billet que j’ai écrit récemment : Firefox est le pire des navigateurs à l’exception de tous les autres.

@jean

Merci. Il y a des options que je ne connaissais pas du tout !

Merci @Jean. Options très intéressantes effectivement.

Bonsoir,
Nous au boulot on a retiré Firefox parce qu’on a trouvé les liens avec les services google insupportable.
Suite à la DEFCON du mois d’Aout on est tous passé sur Brave.
Alors oui il va manquer des outils et des addons mais pour naviguer de manière sécurisé pour le moment on a pas trouvé mieux…
Je ne sais pas ce que vous en pensez ?
Sato

@hakamori

Malgré tous ces défauts qui peuvent être corrigés grâce à une modification du fichier pref.js et user.js, je continue d’utiliser Firefox. Préférez Vivaldi à Brave peut-être. Il permet d’installer les extensions du Chrome Store !

Merci du temps pris pour la réponse ;) Oui Vivaldi a été envisagé mais on a préféré se passer d’addons pour le moment on travaille différemment… Quand on regarde là « https://brave.com/about/ » et qu’on connait un peu l’équipe c’est rassurant. J’ai eu la chance de rencontrer Yan Zhu Chief Information Security Officer à là DEFCON en Aout elle est réputée pour être une des meilleures de sa génération en matière de sécurité et farouche défenderesse de la vie privée (elle a longtemps travaillé pour EFF). Et quand on voit le reste de l’équipe ça rassure aussi. (leur modèle économique surprend ceci étant dit). Si vous avez un moment on aura plaisir à vous inviter à une confsec sur le sujet.
Sato

@Hakamori

Pas de problème. Dispo pour ce genre d’événements !

Compliqué, du coup, de se priver d’extensions telles que No Coin, uBlock Origin, CanvasBlocker, Cookie AutoDelete et DecentralEyes.

@Denis
J’ai noté dans nos tabloïds pour prévoir les invitations le moment venu. La prochaine est prévue avec des membres d’EFF mais c’est dur de coordonner les agendas de ces trublions du net ;)
J’ai utilisé Vivaldi pour voir apparemment on a la possibilité de modifier pas mal de paramètres je vais étudier ça de près. Se passer des extensions que tu cites c’est clair que ce n’est pas évident.

Tu peux me contacter via le mail si tu le souhaites sans soucis.

Laisser un commentaire

(requis)

(requis)