{"id":21971,"date":"2024-06-27T15:54:43","date_gmt":"2024-06-27T13:54:43","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21971"},"modified":"2024-06-27T15:54:43","modified_gmt":"2024-06-27T13:54:43","slug":"phishing-with-progressive-web-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/phishing-with-progressive-web-apps\/21971\/","title":{"rendered":"Hame\u00e7onnage progressif : comment les PWA peuvent \u00eatre utilis\u00e9es pour voler les mots de passe"},"content":{"rendered":"

Un chercheur en s\u00e9curit\u00e9 connu sous le nom de mr.d0x<\/em> a publi\u00e9 un article<\/a> d\u00e9taillant une nouvelle technique pouvant \u00eatre utilis\u00e9e pour le phishing et potentiellement pour d\u2019autres activit\u00e9s malveillantes. La technique utilise des applications Web dites \u00e9volutives (PWA). Dans cet article, nous expliquons ce que sont ces applications, pourquoi elles peuvent \u00eatre dangereuses, comment les agresseurs peuvent les utiliser \u00e0 leurs propres fins et comment se prot\u00e9ger<\/a> contre cette menace.<\/p>\n

Que sont les applications Web \u00e9volutives\u00a0?<\/h2>\n

Les applications Web \u00e9volutives sont des applications d\u00e9velopp\u00e9es \u00e0 l\u2019aide des technologies du Web. Il s\u2019agit essentiellement de sites Internet qui ressemblent et fonctionnent comme des applications natives install\u00e9es sur votre syst\u00e8me d\u2019exploitation.<\/p>\n

L\u2019id\u00e9e g\u00e9n\u00e9rale est semblable aux applications construites sur l\u2019environnement Electron<\/a>, avec une diff\u00e9rence majeure. Les applications Electron se pr\u00e9sentent sous la forme d\u2019un \u00ab\u00a0sandwich\u00a0\u00bb se composant d\u2019un site Internet (la garniture) et d\u2019un navigateur (le pain) d\u00e9di\u00e9 au fonctionnement de ce site ; cela signifie que chaque application Electron dispose d\u2019un navigateur int\u00e9gr\u00e9. En revanche, les PWA utilisent le moteur du navigateur d\u00e9j\u00e0 install\u00e9 sur le syst\u00e8me de l\u2019utilisateur pour afficher le m\u00eame site Internet, comme un sandwich sans le pain.<\/p>\n

Tous les navigateurs modernes prennent en charge les PWA, Google Chrome et les navigateurs bas\u00e9s sur Chromium (y compris le navigateur Microsoft Edge fourni avec Windows) offrant la mise en \u0153uvre la plus compl\u00e8te.<\/p>\n

L\u2019installation d\u2019une PWA (si le site Internet la prend en charge) est tr\u00e8s simple. Il suffit de cliquer sur un bouton discret dans la barre d\u2019adresse du navigateur et de confirmer l\u2019installation. Voici comment proc\u00e9der, en prenant pour exemple la PWA Google Drive\u00a0:<\/p>\n

\"Comment<\/a>

L\u2019installation des PWA ne demande que deux clics<\/p><\/div>\n

Apr\u00e8s cela, la PWA appara\u00eet presque instantan\u00e9ment sur votre syst\u00e8me, ressemblant \u00e0 une vraie application, avec une ic\u00f4ne, sa propre fen\u00eatre et tous les autres attributs d\u2019un programme \u00e0 part enti\u00e8re. La fen\u00eatre de PWA ne permet pas de discerner facilement s\u2019il s\u2019agit r\u00e9ellement d\u2019un navigateur qui affiche un site Internet.<\/p>\n

\"\u00c0<\/a>

La PWA Google Drive ressemble \u00e0 une v\u00e9ritable application native<\/p><\/div>\n

Hame\u00e7onnage bas\u00e9 sur les PWA<\/h2>\n

Une diff\u00e9rence essentielle entre une PWA et le m\u00eame site Internet ouvert dans un navigateur est \u00e9vidente dans la capture d\u2019\u00e9cran ci-dessus\u00a0: la fen\u00eatre PWA ne comporte pas de barre d\u2019adresse. Cette fonctionnalit\u00e9 constitue la base de la m\u00e9thode de phishing abord\u00e9e dans cet article.<\/p>\n

En l\u2019absence de barre d\u2019adresse dans la fen\u00eatre, les agresseurs peuvent tout simplement dessiner la leur, affichant une URL qui r\u00e9pond \u00e0 leurs objectifs de phishing. Par exemple, celle-ci\u00a0:<\/p>\n

\"PWA<\/a>

Avec une PWA, vous pouvez imiter de mani\u00e8re convaincante n\u2019importe quel site, par exemple, la page de connexion d\u2019un compte Microsoft. Source<\/a><\/p><\/div>\n

Les agresseurs peuvent am\u00e9liorer encore la tromperie en donnant \u00e0 la PWA une ic\u00f4ne famili\u00e8re.<\/p>\n

Il ne reste plus qu\u2019\u00e0 convaincre la victime d\u2019installer la PWA. Cependant, cela peut se faire facilement en utilisant un langage persuasif et des \u00e9l\u00e9ments d\u2019interface intelligemment con\u00e7us.<\/p>\n

Il est important de noter que dans la bo\u00eete de dialogue d\u2019installation de la PWA, le nom de l\u2019application affich\u00e9 peut \u00eatre tout ce que souhaite l\u2019agresseur. La v\u00e9ritable origine n\u2019est r\u00e9v\u00e9l\u00e9e que par l\u2019adresse du site Internet dans la deuxi\u00e8me ligne, qui est moins visible\u00a0:<\/p>\n

\"Bo\u00eete<\/a>

La bo\u00eete de dialogue d\u2019installation d\u2019une PWA malveillante affiche un nom qui facilite les objectifs de l\u2019agresseur. Source<\/a><\/p><\/div>\n

Le processus de vol de mot de passe \u00e0 l\u2019aide d\u2019une PWA se d\u00e9roule g\u00e9n\u00e9ralement comme suit\u00a0:<\/p>\n