{"id":18820,"date":"2022-04-28T15:05:40","date_gmt":"2022-04-28T13:05:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18820"},"modified":"2022-04-29T15:11:59","modified_gmt":"2022-04-29T13:11:59","slug":"browser-in-the-browser-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/browser-in-the-browser-attack\/18820\/","title":{"rendered":"Une nouvelle m\u00e9thode d’hame\u00e7onnage : l’attaque Browser-in-the-Browser"},"content":{"rendered":"

Dans le cadre de leur qu\u00eate incessante d\u2019identifiants, de cl\u00e9s secr\u00e8tes<\/a> et d\u2019autres informations pr\u00e9cieuses des utilisateurs, les cybercriminels inventent toujours de nouvelles m\u00e9thodes pour tromper les utilisateurs. Il convient de souligner que ces tactiques peuvent \u00eatre plus ou moins sophistiqu\u00e9es mais que toutes ont un seul et m\u00eame objectif : atteindre les utilisateurs qui baissent la garde. Il suffit de faire attention \u00e0 quelques d\u00e9tails, comme l\u2019adresse du site qui vous demande de saisir vos identifiants, pour \u00e9viter d\u2019\u00eatre victime d\u2019une attaque d\u2019hame\u00e7onnage.<\/p>\n

C\u2019est presque toujours le cas. Pourtant, aujourd\u2019hui nous voulons vous parler d\u2019une attaque qui fonctionne diff\u00e9remment, avec une URL qui semble correcte et s\u00fbre pour la victime. Voyons cela de plus pr\u00e8s.<\/p>\n

Pourquoi trouvons-nous des erreurs dans les adresses des sites d\u2019hame\u00e7onnage ?<\/h2>\n

Chaque adresse de domaine que vous voyez dans la barre d\u2019adresse est unique et toujours attribu\u00e9e \u00e0 son propri\u00e9taire. Si quelqu\u2019un veut cr\u00e9er un site Web, il doit d\u2019abord contacter une organisation sp\u00e9cifique qui s\u2019occupe d\u2019enregistrer les noms des domaines et qui v\u00e9rifie dans une base de donn\u00e9es internationale que l\u2019adresse n\u2019est pas d\u00e9j\u00e0 utilis\u00e9e. Si elle est disponible, elle est attribu\u00e9e au demandeur.<\/p>\n

Cela signifie qu\u2019il est impossible d\u2019enregistrer un faux site avec la m\u00eame adresse que l\u2019original. Pourtant, une personne peut cr\u00e9er un domaine qui ressemble \u00e9norm\u00e9ment \u00e0 celui de quelqu\u2019un d\u2019autre en choisissant une r\u00e9gion diff\u00e9rente, par exemple la Colombie (.co) au lieu du Canada (.ca). Ces diff\u00e9rences sont faciles \u00e0 d\u00e9tecter si vous analysez minutieusement l\u2019adresse.<\/p>\n

C\u2019est pourquoi, au lieu d\u2019enregistrer les domaines, les cybercriminels ont eu l\u2019id\u00e9e de simuler l\u2019apparition d\u2019une fen\u00eatre de navigateur en utilisant l\u2019adresse d\u2019un site authentique sur la page.<\/p>\n

Qu\u2019est-ce qu\u2019une attaque Browser-in-the-Browser ?<\/h2>\n

Cette attaque, d\u00e9sormais connue comme attaque \u00a0\u00bb\u00a0Browser-in-the-Browser\u00a0\u00a0\u00bb (ou de navigateur dans le navigateur), a \u00e9t\u00e9 d\u00e9crite par le chercheur en s\u00e9curit\u00e9 et expert en intrusion (pentester<\/a>) mr.d0x<\/a>. Il s\u2019est rendu compte que les outils actuellement utilis\u00e9s pour cr\u00e9er les sites (HTML\u00a0; CSS et JavaScript) sont si avanc\u00e9s qu\u2019ils peuvent afficher pratiquement n\u2019importe quoi sur la page\u00a0: des champs de n\u2019importe quelle couleur ou taille, ou encore des animations qui imitent les \u00e9l\u00e9ments interactifs de l\u2019interface. Cela signifie qu\u2019un cybercriminel peut s\u2019en servir pour simuler la page enti\u00e8re d\u2019un service diff\u00e9rent sur le site.<\/p>\n

Dans le cadre de ces essais, mx.d0x s\u2019est int\u00e9ress\u00e9 aux fen\u00eatres pop-up de connexion. Vous en avez d\u00e9j\u00e0 vu\u00a0: elles apparaissent lorsque vous choisissez une option comme \u00a0\u00bb\u00a0Se connecter avec Google\u00a0\u00a0\u00bb ou \u00a0\u00bb\u00a0Continuer avec Google\u00a0\u00a0\u00bb au lieu de cr\u00e9er un compte sur le site. Cette option est pratique puisque vous n\u2019avez pas besoin d\u2019inventer un nouveau mot de passe, ni de vous en souvenir, ou d\u2019attendre de recevoir un lien ou un code de confirmation. De plus, cette m\u00e9thode de connexion est relativement s\u00fbre. Lorsque vous cliquez sur le bouton \u00a0\u00bb\u00a0Se connecter avec\u00a0\u00ab\u00a0, la page du service correspondant s\u2019ouvre pour que vous puissiez saisir vos identifiants et le site auquel vous souhaitez vous connecter ne re\u00e7oit jamais le mot de passe, pas m\u00eame temporairement.<\/p>\n

\"Voil\u00e0

Voil\u00e0 \u00e0 quoi ressemble la page de connexion d\u2019un service tiers<\/p><\/div>\n

Voyons maintenant ce qu\u2019est une attaque Browser-in-the-Browser. Les cybercriminels enregistrent un site en utilisant une technique d\u2019hame\u00e7onnage classique : cloner le site authentique. Ils peuvent aussi choisir une adresse et un contenu attrayants afin de tromper les victimes : bonnes affaires, offres d\u2019emploi ou actualit\u00e9s que l\u2019utilisateur pourrait commenter. Les criminels organisent le site de fa\u00e7on que les visiteurs doivent se connecter pour pouvoir acheter, laisser un commentaire ou acc\u00e9der aux autres fonctionnalit\u00e9s qui les int\u00e9ressent. C\u2019est \u00e0 ce moment-l\u00e0 que les malfaiteurs ajoutent des boutons qui permettent soi-disant de se connecter via les services l\u00e9gitimes dont ils veulent obtenir les mots de passe.<\/p>\n

Si la victime clique sur un de ces boutons, une fen\u00eatre de connexion qui ressemble \u00e0 celle de Microsoft, Google ou Apple s\u2019ouvre. De plus, l\u2019adresse est correcte, le logo est le bon et les champs de saisie sont corrects. En r\u00e9sum\u00e9, la victime voit tous les \u00e9l\u00e9ments de l\u2019interface qu\u2019elle conna\u00eet. La fen\u00eatre peut m\u00eame afficher les bonnes adresses lorsque l\u2019utilisateur passe le pointeur de la souris sur le bouton \u00a0\u00bb\u00a0Se connecter\u00a0\u00a0\u00bb ou sur le lien \u00a0\u00bb\u00a0Mot de passe oubli\u00e9\u00a0\u00ab\u00a0.<\/p>\n

L\u2019astuce est qu\u2019il ne s\u2019agit pas vraiment d\u2019une nouvelle fen\u00eatre. Cette merveilleuse supercherie est cens\u00e9e appara\u00eetre sur la page qui essaie de tromper l\u2019utilisateur. Si vous saisissez vos identifiants dans cette fen\u00eatre, ils ne seront pas envoy\u00e9s \u00e0 Microsoft, Google ou Apple mais directement au serveur des cybercriminels. Vous pouvez avoir un aper\u00e7u ici<\/a>.<\/p>\n

Comment savoir qu\u2019une page de connexion est fausse ?<\/h2>\n

M\u00eame si rien ne trahit cette fausse fen\u00eatre de connexion, certains \u00e9l\u00e9ments vous permettent de d\u00e9tecter l\u2019erreur.<\/p>\n

Les vraies fen\u00eatres de connexion sont des fen\u00eatres de navigateur et se comportent comme telle. Vous pouvez les agrandir, les r\u00e9duire ou les d\u00e9placer n\u2019importe o\u00f9 sur l\u2019\u00e9cran. Les fausses fen\u00eatres pop-up sont li\u00e9es \u00e0 la page sur laquelle elles se trouvent. Elles peuvent aussi se d\u00e9placer en toute libert\u00e9 et cacher les boutons et les images, mais seulement \u00e0 l\u2019int\u00e9rieur<\/strong> de la fen\u00eatre de navigateur. Elles ne peuvent pas sortir. Cette diff\u00e9rence devrait vous aider \u00e0 les identifier.<\/p>\n

Pour v\u00e9rifier si le formulaire de connexion est authentique\u00a0:<\/p>\n