Comment afficher le punycode dans Firefox pour les sites aux IDN, ces noms de domaines écrits en Unicode (cyrillique, chinois ou autre)

Résumé du billet pour les plus pressés :

  • Ouvrez Firefox > Tapez about:config > Validez et acceptez le risque > Retrouver l’option network.IDN_show_punycode et faites un double clic dessus pour la faire basculer à true.
  • Rassurez-vous, l’activation de cette option n’empêchera pas l’affichage des caractères Unicode dans les URL si ceux-ci sont situés en dehors du nom de domaine : ainsi, les adresses des articles de Wikipedia comportant des caractères Unicode (exemple, exemple) s’afficheront normalement dans la barre d’adresse.

* * *

L’idée d’écrire ce billet m’est venue après que l’un de mes confrères a repéré et partagé, dans une discussion privée sur Telegram, une invitation pour le moins douteuse à un sondage promettant tout simplement de vous faire gagner 500€ avec IKEA. Un sondage était présenté comme officiel et comme étant organisé directement par le géant du mobilier IKEA, prétendument à l’occasion de son 75e anniversaire.

De quoi s’agit-il ? (1/2) Explication en termes juridiques

Il s’agit d’une tentative d’escroquerie par l’usage d’un faux. Voici le texte original du message vérolé :

Bonjour, IKEA offre gratuitement un bon de 500€ à tous! pour fêter son 75ème anniversaire, Vous pouvez obtenir votre coupon gratuit aussi! ne manquez pas, cliquez ici pour obtenir votre bon d’achat gratuit IKEA: http://www.ıĸea.com/Bon   Appréciez, et Merci moi plus tard!.

Pour rappel :

L’article 313-1 du Code pénal définit le délit d’escroquerie comme :

« Le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ».

En l’espèce, pour paraphraser le texte de loi, les escrocs ont cherché à tromper leurs victimes et à déterminer celles-ci à consentir à un acte (« cliquez ici pour obtenir votre bon d’achat gratuit IKEA »), consistant d’abord en un clic et ensuite à faire quelque chose que nous ne saurons jamais car nous ne sommes pas allés au-delà de la page d’accueil de leur site.

De quoi s’agit-il ? (2/2) Explication en termes informatiques

Pour parvenir à leur fin, ces types ont opté pour l’usage d’un faux nom de domaine ıĸea.com composé de caractères Unicode non latins mais homographiques (un terme savant pour dire « graphiquement similaires ») aux caractères latins : ainsi, on y constate la présence de la lettre ı (un « i sans point ») turque et de la lettre к (un « k ») cyrillique.

Des caractères cyrilliques dans la barre d’adresse URL du navigateur, tu trouves ça normal ?!

Des caractères cyrilliques, tout à fait, mais aussi sémitiques (arabes, hébreux), arméniens, chinois, japonais, tamils, grecs et nombre d’autres (même des emojis 😳👈), sans oublier les caractères accentués des alphabets latins.

La spécification qui normalise et décrit ce joyeux bordel s’appelle IDN (Internationalized domain name) et je n’en dirai pas davantage : les plus curieux des lecteurs peuvent rassasier leur soif de connaissance en se rendant sur Wikipedia.

En revanche, je préfère vous dire quelques mots sur les

Risques de tromperie liés à la ressemblance entre certains caractères latins et non latins

En l’espèce, www.ıĸea.com est un bel animal.  Pour voir d’autres specimens, rendez-vous sur Wikipedia.

Comment s’en prémunir ?

D’abord, vous devriez utiliser un navigateur qui soit sécurisé, régulièrement mis à jour, open-source et finement paramétrable. Le navigateur Firefox, de la fondation à but non lucratif Mozilla, est juste parfait et je l’aime beaucoup, mais vous aimez peut-être Chrome de Google (surtout si vous ne savez pas grand-chose sur Firefox ni sur Mozilla, et peut-être même pas tant que cela sur Chrome, mais cela vous regarde).

(Quoi qu’il en soit, n’utilisez surtout pas Internet Explorer, la bricole vermoulue et bancale de Microsoft, championne en nombre de failles de sécurité révélées (et combien en reste-t-il encore d’inconnues !) qui n’aurait probablement jamais été autorisée à sortir sur le marché si au moins un seul audit du code source avait jamais été fait dessus !)

Selon le navigateur que vous utilisez, il y a deux issues possibles :

(a) votre navigateur bloque absolument tous les URL basées sur les noms de domaine internationalisés (IDN) et vous n’en voyez jamais la couleur ;

(b) votre navigateur vous laisse accéder aux IDN ; dans ce cas-là, il devrait vous avertir ou, au moins, vous laisser un indice sur la nature probablement trompeuse de l’URL.

Une solution a été prévue dans ce dernier cas de figure. C’est

Le punycode, ou la transcription des IDN en caractères ASCII

Le punycode est la manière adoptée par les hautes instances du net pour permettre de transcrire les IDN en de bons vieux caractères ASCII parfaitement cachères. Autrement dit, à chaque IDN et ses exotiques caractères du monde, on a associé une chaîne de caractère ASCII unique, composée de lettres, de chiffres et de tirets.

La transcription permet surtout d’inscrire les IDN dans des registres DNS auprès des fournisseurs d’accès, aux côtés de tous les autres sites web du monde entier, sous forme de couples « adresse IP : nom de domaine correspondant ».

En l’espèce, vous pouvez observer le punycode associé au site malveillant que nous étudions en vous rendant à l’image accrochée en haut de ce billet. Et pour plus de détails concernant le punycode, rendez-vous sur Wikipedia.

Ainsi, un navigateur qui supporte les IDN sait, lui, dès le départ de quelle véritable adresse il s’agit lorsqu’il vous amène sur la page d’un IDN. Seulement, cela vous fait une belle jambe en tant qu’utilisateur si votre navigateur n’offre aucune possibilité de montrer ce qu’il sait.

Dès lors, voici comment

Révéler la transcription en punycode des IDN dans Firefox

Ainsi que vous pouvez voir sur l’image en haut de ce billet, mon confrère et moi-même utilisons tous les deux le navigateur sécurisé Firefox pour mobile. Ce navigateur sécurisé et finement paramétrable offre, comme toutes les déclinaisons du navigateur Firefox, un tas d’options spécialement dédiées aux IDN, dont une qui permet d’indiquer si l’on souhaite les représenter soit en Unicode (réglage par défaut), soit en punycode.

La procédure ci-dessous peut s’effectuer dans toutes les déclinaisons de Firefox, que ce soit sur mobile, sur fixe, sous Windows, sous Linux, sous Mac ou ce que vous voulez.

  1. Ouvrez Firefox et ouvrez un nouvel onglet.
  2. Dans la barre d’adresse, tapez about:config et validez.
  3. Indiquez que vous acceptez le risque et poursuivez.Vous êtes en présence de nombreuses options de configuration de Firefox, ce qui fait l’une des forces de ce navigateur ouvert (open source), hautement paramétrable et personnalisable. Dans la barre de recherche, tapez idn pour voir toutes les options relatives à la seule gestion des IDN.
  4. Dans la barre de recherche, tapez punycode. Attendez que la recherche aboutisse. Retrouvez l’option network.IDN_show_punycode.
  5. Faites un double clic dessus pour faire basculer l’option network.IDN_show_punycode à true.

Désormais, tout IDN visité se présentera à vous sous sa véritable identité.

Rassurez-vous, l’activation de l’option network.IDN_show_punycode n’empêchera pas l’affichage des caractères Unicode dans les URL si ceux-ci sont situés en dehors du nom de domaine : ainsi, les adresses des articles de Wikipedia comportant des caractères Unicode (exemple, exemple) s’afficheront normalement dans la barre d’adresse.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s