Une nouvelle méthode d’hameçonnage : l’attaque Browser-in-the-Browser

Nous vous expliquons une nouvelle technique sournoise utilisée pour voler les mots de passe et comment éviter d’être victime d’un site d’hameçonnage.

Une nouvelle méthode d’hameçonnage : l’attaque Browser-in-the-Browser

Dans le cadre de leur quête incessante d’identifiants, de clés secrètes et d’autres informations précieuses des utilisateurs, les cybercriminels inventent toujours de nouvelles méthodes pour tromper les utilisateurs. Il convient de souligner que ces tactiques peuvent être plus ou moins sophistiquées mais que toutes ont un seul et même objectif : atteindre les utilisateurs qui baissent la garde. Il suffit de faire attention à quelques détails, comme l’adresse du site qui vous demande de saisir vos identifiants, pour éviter d’être victime d’une attaque d’hameçonnage.

C’est presque toujours le cas. Pourtant, aujourd’hui nous voulons vous parler d’une attaque qui fonctionne différemment, avec une URL qui semble correcte et sûre pour la victime. Voyons cela de plus près.

Pourquoi trouvons-nous des erreurs dans les adresses des sites d’hameçonnage ?

Chaque adresse de domaine que vous voyez dans la barre d’adresse est unique et toujours attribuée à son propriétaire. Si quelqu’un veut créer un site Web, il doit d’abord contacter une organisation spécifique qui s’occupe d’enregistrer les noms des domaines et qui vérifie dans une base de données internationale que l’adresse n’est pas déjà utilisée. Si elle est disponible, elle est attribuée au demandeur.

Cela signifie qu’il est impossible d’enregistrer un faux site avec la même adresse que l’original. Pourtant, une personne peut créer un domaine qui ressemble énormément à celui de quelqu’un d’autre en choisissant une région différente, par exemple la Colombie (.co) au lieu du Canada (.ca). Ces différences sont faciles à détecter si vous analysez minutieusement l’adresse.

C’est pourquoi, au lieu d’enregistrer les domaines, les cybercriminels ont eu l’idée de simuler l’apparition d’une fenêtre de navigateur en utilisant l’adresse d’un site authentique sur la page.

Qu’est-ce qu’une attaque Browser-in-the-Browser ?

Cette attaque, désormais connue comme attaque  » Browser-in-the-Browser  » (ou de navigateur dans le navigateur), a été décrite par le chercheur en sécurité et expert en intrusion (pentester) mr.d0x. Il s’est rendu compte que les outils actuellement utilisés pour créer les sites (HTML ; CSS et JavaScript) sont si avancés qu’ils peuvent afficher pratiquement n’importe quoi sur la page : des champs de n’importe quelle couleur ou taille, ou encore des animations qui imitent les éléments interactifs de l’interface. Cela signifie qu’un cybercriminel peut s’en servir pour simuler la page entière d’un service différent sur le site.

Dans le cadre de ces essais, mx.d0x s’est intéressé aux fenêtres pop-up de connexion. Vous en avez déjà vu : elles apparaissent lorsque vous choisissez une option comme  » Se connecter avec Google  » ou  » Continuer avec Google  » au lieu de créer un compte sur le site. Cette option est pratique puisque vous n’avez pas besoin d’inventer un nouveau mot de passe, ni de vous en souvenir, ou d’attendre de recevoir un lien ou un code de confirmation. De plus, cette méthode de connexion est relativement sûre. Lorsque vous cliquez sur le bouton  » Se connecter avec « , la page du service correspondant s’ouvre pour que vous puissiez saisir vos identifiants et le site auquel vous souhaitez vous connecter ne reçoit jamais le mot de passe, pas même temporairement.

Voilà à quoi ressemble la page de connexion d'un service tiers

Voilà à quoi ressemble la page de connexion d’un service tiers

Voyons maintenant ce qu’est une attaque Browser-in-the-Browser. Les cybercriminels enregistrent un site en utilisant une technique d’hameçonnage classique : cloner le site authentique. Ils peuvent aussi choisir une adresse et un contenu attrayants afin de tromper les victimes : bonnes affaires, offres d’emploi ou actualités que l’utilisateur pourrait commenter. Les criminels organisent le site de façon que les visiteurs doivent se connecter pour pouvoir acheter, laisser un commentaire ou accéder aux autres fonctionnalités qui les intéressent. C’est à ce moment-là que les malfaiteurs ajoutent des boutons qui permettent soi-disant de se connecter via les services légitimes dont ils veulent obtenir les mots de passe.

Si la victime clique sur un de ces boutons, une fenêtre de connexion qui ressemble à celle de Microsoft, Google ou Apple s’ouvre. De plus, l’adresse est correcte, le logo est le bon et les champs de saisie sont corrects. En résumé, la victime voit tous les éléments de l’interface qu’elle connaît. La fenêtre peut même afficher les bonnes adresses lorsque l’utilisateur passe le pointeur de la souris sur le bouton  » Se connecter  » ou sur le lien  » Mot de passe oublié « .

L’astuce est qu’il ne s’agit pas vraiment d’une nouvelle fenêtre. Cette merveilleuse supercherie est censée apparaître sur la page qui essaie de tromper l’utilisateur. Si vous saisissez vos identifiants dans cette fenêtre, ils ne seront pas envoyés à Microsoft, Google ou Apple mais directement au serveur des cybercriminels. Vous pouvez avoir un aperçu ici.

Comment savoir qu’une page de connexion est fausse ?

Même si rien ne trahit cette fausse fenêtre de connexion, certains éléments vous permettent de détecter l’erreur.

Les vraies fenêtres de connexion sont des fenêtres de navigateur et se comportent comme telle. Vous pouvez les agrandir, les réduire ou les déplacer n’importe où sur l’écran. Les fausses fenêtres pop-up sont liées à la page sur laquelle elles se trouvent. Elles peuvent aussi se déplacer en toute liberté et cacher les boutons et les images, mais seulement à l’intérieur de la fenêtre de navigateur. Elles ne peuvent pas sortir. Cette différence devrait vous aider à les identifier.

Pour vérifier si le formulaire de connexion est authentique :

  • Réduisez la fenêtre du navigateur qui s’est ouverte avec le formulaire. Si le formulaire de connexion disparaît aussi alors qu’il est censé être dans une fenêtre à part, alors c’est un faux. Une vraie fenêtre devrait encore être visible à l’écran.
  • Essayez de déplacer la fenêtre de connexion en dehors du cadre de la fenêtre mère. Une vraie fenêtre peut facilement sortir, contrairement à une fausse.

Si la fenêtre avec le formulaire de connexion se comporte bizarrement (se réduit avec l’autre fenêtre, s’arrête sous la barre d’adresse ou disparaît dessous), alors c’est une fausse et vous ne devez pas saisir vos identifiants.

Puis-je me protéger plus simplement ?

Cette attaque n’est pas aussi dangereuse que ce que l’on pourrait croire de prime abord. Même si une attaque Browser-in-the-Browser est difficile à détecter à l’œil nu, votre ordinateur peut vous aider. Peu importe ce qui est écrit sur un site dangereux, la véritable adresse ne change pas et c’est ce qu’une solution de sécurité prend en compte.

  • Utilisez un gestionnaire de mots de passe pour tous vos comptes. Ce programme vérifie l’adresse de la page et ne saisit pas vos identifiants sur un site inconnu, même s’il a l’air légitime.
  • Installez une bonne solution de sécurité avec un module anti-hameçonnage. Cette solution vérifie aussi l’URL pour vous et vous avertit immédiatement si une page est dangereuse.

Évidemment, n’oubliez pas d’utiliser l’authentification à deux facteurs. Activez cette option dès que vous en avez la possibilité, y compris sur les réseaux sociaux. Ainsi, même si les cybercriminels volent vos identifiants, ils ne pourront pas accéder à votre compte sans le code à usage unique que vous allez recevoir, et pas eux.

Si vous voulez une protection renforcée pour les comptes qui contiennent des informations très importantes, nous vous conseillons d’utiliser des jetons U2F, dont le plus connu est YubiKey. Le système vérifie l’adresse du site et si la page connaît la clé de chiffrement. Par conséquent, il est impossible de tromper un tel système d’authentification, même si le site original et son jumeau semblent identiques.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.