#17721

Doc TB sur Twitter : "La vache, j'ai failli me faire avoir par un phishing @OVH très très bien foutu. Le mail de renouvellement a passé l'antispam, le site est vraiment ressemblant et ils arrivent visiblement à exploiter une faille pour afficher l'URL correcte. Heureusement qu'il reste qques bugs. 😤… https://t.co/lkQrnSLlUu"

Z'avez vu l’URL de cette page ? Son domaine c’est « ovh.com ».

Le vrai donc y a pas de problème ?
Bah si, car c’est pas le vrai.

Les caractères ressemblent à un O, un V, un H, mais l’un des trois est un caractère unicode différent qui ressemble à s’y méprendre à ces lettres.

Merci qui ? Merci l’unicode dans les URL !

On avait déjà vu des démonstrations de ce problème :
– ici avec un spoof de l’URL d’apple : https://lehollandaisvolant.net/?mode=links&id=20170418170916
– et là avec Google : https://lehollandaisvolant.net/?id=20161122173444

Solution, dans Firefox : about:config + network.IDN_show_punycode = true (merci).

(Le pire c’est que quand tout le monde aura configuré son navigateur pour ne plus afficher l’unicode, mais le code correspondant à ces caractères (le code « punnycode »), et quand les navigateurs auront mis ça par défaut pour des raisons de sécurité, ben on se trouvera très con d’avoir juste eu l’idée de mettre l’unicode dans les URL, puisque personne ne les verra plus jamais.)

https://twitter.com/d0cTB/status/1035132390182711296