Attaques « navigateur dans le navigateur » : de la théorie à la réalité

En 2022, nous nous sommes penchés sur la méthode d’attaque BitB (browser-in-the-browser ou navigateur dans le navigateur), développée initialement par un chercheur en cybersécurité connu sous le nom de mr.d0x. À l’époque, il n’existait aucun exemple d’utilisation de ce modèle dans des situations réelles. Quatre ans plus tard, les attaques « navigateur dans le navigateur » sont passées de la théorie à la réalité : les navigateurs les utilisent désormais en pratique. Dans cet article, nous rappelons ce qu’est exactement une attaque de type « navigateur dans le navigateur », nous montrons comment les pirates informatiques la mettent en œuvre et, surtout, nous expliquons comment éviter d’en être la prochaine victime.

Qu’est-ce qu’une attaque de type « navigateur dans le navigateur » (BitB) ?

Pour commencer, rafraîchissons-nous la mémoire sur ce que le chercheur mr.d0x a réellement concocté. Le cœur de l’attaque découle de son observation de l’avancée des outils modernes de développement Web (HTML, CSS, JavaScript, etc.). C’est cette constatation qui a inspiré le chercheur à imaginer un modèle de phishing particulièrement élaboré.

Une attaque de type « navigateur dans le navigateur » est une technique élaborée de phishing qui utilise la conception de sites Internet pour créer des pages Web frauduleuses imitant les fenêtres de connexion de services réputés tels que Microsoft, Google, Facebook ou Apple, et ressemblant fidèlement aux véritables pages Web. Selon le concept du chercheur, un pirate doit créer un site en apparence authentique afin d’attirer les victimes. Une fois sur le site, les utilisateurs ne peuvent laisser de commentaires ou effectuer des achats qu’après s’être « connectés ».

La connexion semble plutôt évidente : il suffit de cliquer sur le bouton Se connecter avec {nom du service le plus populaire}. Et c’est là que les choses commencent à poser problème : au lieu d’une véritable page d’authentification fournie par le service légitime, l’utilisateur se retrouve devant un faux formulaire restitué à l’intérieur du site malveillant, ressemblant en tous points à… une fenêtre contextuelle de navigateur. De plus, la barre d’adresse de la fenêtre contextuelle, également affichée par les pirates, présente une URL tout à fait légitime. Même une inspection minutieuse ne permet pas de déceler la supercherie.

À ce stade, l’utilisateur peu méfiant saisit ses identifiants Microsoft, Google, Facebook ou Apple dans cette fenêtre, et ces informations sont directement transmises aux cybercriminels. Pendant un certain temps, ce stratagème est resté à l’état expérimental et théorique pour le chercheur en sécurité. Aujourd’hui, les cybercriminels l’ont ajouté à leur arsenal.

Vol d’identifiants Facebook

Les pirates informatiques ont adapté le concept original de mr.d0x : les récentes attaques de type « navigateur dans le navigateur » ont commencé par des emails censés alarmer les destinataires. Par exemple, une campagne de phishing s’est fait passer pour un cabinet d’avocats informant l’utilisateur qu’il avait enfreint le droit d’auteur en publiant quelque chose sur Facebook. Le message comprenait un lien en apparence crédible qui renvoyait prétendument à la publication incriminée.

Des pirates informatiques ont envoyé des messages au nom d’un faux cabinet d’avocats alléguant une violation des droits d’auteur, accompagnés d’un lien censé renvoyer à la publication en cause sur Facebook. Source

Fait intéressant, pour faire baisser la garde de la victime, le fait de cliquer sur le lien n’ouvrait pas immédiatement une fausse page de connexion Facebook. Au lieu de cela, l’utilisateur était d’abord invité à résoudre un faux CAPTCHA Meta. Ce n’est qu’une fois la vérification effectuée que la fenêtre contextuelle de connexion s’affichait à l’écran.

Il ne s’agit pas d’une véritable fenêtre contextuelle de navigateur, mais d’un composant de site Internet imitant une page de connexion à Facebook – une ruse qui permet aux pirates d’afficher une adresse totalement convaincante. Source

Bien entendu, la fausse page de connexion à Facebook reprenait le modèle de mr.d0x : elle était entièrement construite à l’aide d’outils de conception Web afin de récolter les identifiants de la victime. Par ailleurs, l’URL affichée dans la barre d’adresse falsifiée pointait vers le véritable site de Facebook, www.facebook.com.

Comment éviter d’être victime d’une telle attaque

Le fait que les escrocs déploient désormais des attaques de type « navigateur dans le navigateur » montre bien que leur arsenal est en constante évolution. Mais ne désespérez pas, il existe une façon de savoir si une fenêtre de connexion est authentique. Un gestionnaire de mots de passe fiable est votre ami ici, qui, entre autres choses, agit comme un test de sécurité fiable pour n’importe quel site Internet.

En effet, lorsqu’il s’agit de remplir automatiquement des identifiants, un gestionnaire de mots de passe prend en compte l’URL réelle, et non ce que la barre d’adresse semble afficher, ou ce à quoi la page elle-même ressemble. Contrairement à un utilisateur humain, un gestionnaire de mots de passe fiable ne peut pas être trompé par des tactiques de type  » navigateur dans le navigateur « , ou toute autre ruse, comme des domaines ayant une adresse légèrement différente (typosquattage) ou des formulaires de phishing enfouis dans des annonces et des fenêtres contextuelles. La règle est simple : si votre gestionnaire de mots de passe vous propose de saisir automatiquement votre nom d’utilisateur et votre mot de passe, c’est que vous êtes sur un site Internet dont vous avez préalablement enregistré les identifiants. S’il n’indique rien, c’est que quelque chose ne tourne pas rond.

En outre, en appliquant nos conseils pratiques, vous pourrez vous défendre contre les différentes méthodes de phishing ou, du moins, minimiser les conséquences en cas d’attaque réussie :

• Activez l’authentification à deux facteurs (2FA) pour tous les comptes qui la prennent en charge. Idéalement, utilisez des codes à usage unique générés par une application d’authentification dédiée comme deuxième facteur. Cette mesure vous permettra d’éviter les tentatives de phishing visant à intercepter les codes de confirmation envoyés par SMS, applications de messagerie ou email. Vous pouvez en savoir plus sur les codes à usage unique 2FA dans notre article sur le sujet.
• Utilisez des clés d’accès. Le fait de pouvoir se connecter par cette méthode permet également de savoir que l’on se trouve sur un site authentique. Vous pouvez en apprendre davantage sur les clés d’accès et sur la façon de les utiliser dans notre analyse approfondie de cette technologie.
• Définissez des mots de passe uniques et complexes pour chacun de vos comptes. Dans tous les cas, ne réutilisez jamais un même mot de passe pour différents comptes. Nous avons récemment abordé sur notre blog les critères de robustesse d’un mot de passe. Pour générer des combinaisons uniques, sans avoir à les mémoriser, Kaspersky Password Manager est votre meilleur atout. Petit plus, il peut également générer des codes à usage unique pour l’authentification à deux facteurs, stocker vos clés d’accès et synchroniser vos mots de passe ainsi que vos fichiers sur vos différents appareils.

Enfin, cet article nous rappelle une fois de plus que les attaques théoriques décrites par les chercheurs en cybersécurité finissent souvent par se concrétiser. Alors, suivez notre blog et abonnez-vous à notre canal Telegram pour rester au courant des dernières menaces qui pèsent sur la sécurité numérique et des façons de s’en prémunir.

Découvrez les autres techniques de phishing ingénieuses que les escrocs utilisent sans relâche :

• Phishing et spam : les campagnes les plus incroyables de 2025
• Qu’advient-il des données volées lors d’une attaque de phishing ?
• Comment les escrocs et les pirates spécialisés dans le phishing exploitent-ils l’IA ?
• Le phishing clé en main
• Hameçonnage progressif : comment les PWA peuvent être utilisées pour voler les mots de passe