{"id":23677,"date":"2026-03-11T12:35:43","date_gmt":"2026-03-11T10:35:43","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23677"},"modified":"2026-03-11T13:48:22","modified_gmt":"2026-03-11T11:48:22","slug":"browser-in-the-browser-phishing-facebook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/browser-in-the-browser-phishing-facebook\/23677\/","title":{"rendered":"Attaques « navigateur dans le navigateur » : de la th\u00e9orie \u00e0 la r\u00e9alit\u00e9"},"content":{"rendered":"

En 2022, nous nous sommes pench\u00e9s sur la m\u00e9thode d\u2019attaque BitB<\/a> (browser-in-the-browser ou navigateur dans le navigateur), d\u00e9velopp\u00e9e initialement par un chercheur en cybers\u00e9curit\u00e9 connu sous le nom de mr.d0x<\/em>. \u00c0 l\u2019\u00e9poque, il n\u2019existait aucun exemple d\u2019utilisation de ce mod\u00e8le dans des situations r\u00e9elles. Quatre ans plus tard, les attaques \u00ab\u00a0navigateur dans le navigateur\u00a0\u00bb sont pass\u00e9es de la th\u00e9orie \u00e0 la r\u00e9alit\u00e9 : les navigateurs les utilisent d\u00e9sormais en pratique. Dans cet article, nous rappelons ce qu\u2019est exactement une attaque de type \u00ab\u00a0navigateur dans le navigateur\u00a0\u00bb, nous montrons comment les pirates informatiques la mettent en \u0153uvre et, surtout, nous expliquons comment \u00e9viter d\u2019en \u00eatre la prochaine victime.<\/p>\n

Qu\u2019est-ce qu\u2019une attaque de type \u00ab\u00a0navigateur dans le navigateur\u00a0\u00bb (BitB) ?<\/h2>\n

Pour commencer, rafra\u00eechissons-nous la m\u00e9moire sur ce que le chercheur mr.d0x<\/em> a r\u00e9ellement concoct\u00e9<\/a>. Le c\u0153ur de l\u2019attaque d\u00e9coule de son observation de l\u2019avanc\u00e9e des outils modernes de d\u00e9veloppement Web (HTML, CSS, JavaScript, etc.). C\u2019est cette constatation qui a inspir\u00e9 le chercheur \u00e0 imaginer un mod\u00e8le de phishing particuli\u00e8rement \u00e9labor\u00e9.<\/p>\n

Une attaque de type \u00ab\u00a0navigateur dans le navigateur\u00a0\u00bb est une technique \u00e9labor\u00e9e de phishing qui utilise la conception de sites Internet pour cr\u00e9er des pages Web frauduleuses imitant les fen\u00eatres de connexion de services r\u00e9put\u00e9s tels que Microsoft, Google, Facebook ou Apple, et ressemblant fid\u00e8lement aux v\u00e9ritables pages Web. Selon le concept du chercheur, un pirate doit cr\u00e9er un site en apparence authentique afin d\u2019attirer les victimes. Une fois sur le site, les utilisateurs ne peuvent laisser de commentaires ou effectuer des achats qu\u2019apr\u00e8s s\u2019\u00eatre \u00ab\u00a0connect\u00e9s\u00a0\u00bb.<\/p>\n

La connexion semble plut\u00f4t \u00e9vidente\u00a0: il suffit de cliquer sur le bouton Se connecter avec {nom du service le plus populaire}<\/em>. Et c\u2019est l\u00e0 que les choses commencent \u00e0 poser probl\u00e8me\u00a0: au lieu d\u2019une v\u00e9ritable page d\u2019authentification fournie par le service l\u00e9gitime, l\u2019utilisateur se retrouve devant un faux formulaire restitu\u00e9 \u00e0 l\u2019int\u00e9rieur du site malveillant, ressemblant en tous points \u00e0\u2026 une fen\u00eatre contextuelle de navigateur. De plus, la barre d\u2019adresse de la fen\u00eatre contextuelle, \u00e9galement affich\u00e9e par les pirates, pr\u00e9sente une URL tout \u00e0 fait l\u00e9gitime<\/em>. M\u00eame une inspection minutieuse ne permet pas de d\u00e9celer la supercherie.<\/p>\n

\u00c0 ce stade, l\u2019utilisateur peu m\u00e9fiant saisit ses identifiants Microsoft, Google, Facebook ou Apple dans cette fen\u00eatre, et ces informations sont directement transmises aux cybercriminels. Pendant un certain temps, ce stratag\u00e8me est rest\u00e9 \u00e0 l\u2019\u00e9tat exp\u00e9rimental et th\u00e9orique pour le chercheur en s\u00e9curit\u00e9. Aujourd\u2019hui, les cybercriminels l\u2019ont ajout\u00e9 \u00e0 leur arsenal.<\/p>\n

Vol d\u2019identifiants Facebook<\/h2>\n

Les pirates informatiques ont adapt\u00e9 le concept original de mr.d0x<\/em> : les r\u00e9centes attaques de type \u00ab\u00a0navigateur dans le navigateur\u00a0\u00bb ont commenc\u00e9 par des emails<\/a> cens\u00e9s alarmer les destinataires. Par exemple, une campagne de phishing s\u2019est fait passer pour un cabinet d\u2019avocats informant l\u2019utilisateur qu\u2019il avait enfreint le droit d\u2019auteur en publiant quelque chose sur Facebook. Le message comprenait un lien en apparence cr\u00e9dible qui renvoyait pr\u00e9tendument \u00e0 la publication incrimin\u00e9e.<\/p>\n

\"Un<\/a>

Des pirates informatiques ont envoy\u00e9 des messages au nom d\u2019un faux cabinet d\u2019avocats all\u00e9guant une violation des droits d\u2019auteur, accompagn\u00e9s d\u2019un lien cens\u00e9 renvoyer \u00e0 la publication en cause sur Facebook. Source<\/a><\/p><\/div>\n

Fait int\u00e9ressant, pour faire baisser la garde de la victime, le fait de cliquer sur le lien n\u2019ouvrait pas imm\u00e9diatement une fausse page de connexion Facebook. Au lieu de cela, l\u2019utilisateur \u00e9tait d\u2019abord invit\u00e9 \u00e0 r\u00e9soudre un faux CAPTCHA Meta. Ce n\u2019est qu\u2019une fois la v\u00e9rification effectu\u00e9e que la fen\u00eatre contextuelle de connexion s\u2019affichait \u00e0 l\u2019\u00e9cran.<\/p>\n

\"Fausse<\/a>

Il ne s\u2019agit pas d\u2019une v\u00e9ritable fen\u00eatre contextuelle de navigateur, mais d\u2019un composant de site Internet imitant une page de connexion \u00e0 Facebook \u2013 une ruse qui permet aux pirates d\u2019afficher une adresse totalement convaincante. Source <\/a><\/p><\/div>\n

Bien entendu, la fausse page de connexion \u00e0 Facebook reprenait le mod\u00e8le de mr.d0x<\/em>\u00a0: elle \u00e9tait enti\u00e8rement construite \u00e0 l\u2019aide d\u2019outils de conception Web afin de r\u00e9colter les identifiants de la victime. Par ailleurs, l\u2019URL affich\u00e9e dans la barre d\u2019adresse falsifi\u00e9e pointait vers le v\u00e9ritable site de Facebook, www.facebook.com.<\/p>\n

Comment \u00e9viter d\u2019\u00eatre victime d\u2019une telle attaque<\/h2>\n

Le fait que les escrocs d\u00e9ploient d\u00e9sormais des attaques de type \u00ab\u00a0navigateur dans le navigateur\u00a0\u00bb montre bien que leur arsenal est en constante \u00e9volution. Mais ne d\u00e9sesp\u00e9rez pas, il existe une fa\u00e7on de savoir si une fen\u00eatre de connexion est authentique. Un gestionnaire de mots de passe fiable<\/a>\u00a0est votre ami ici, qui, entre autres choses, agit comme un test de s\u00e9curit\u00e9 fiable pour n\u2019importe quel site Internet.<\/p>\n

En effet, lorsqu\u2019il s\u2019agit de remplir automatiquement des identifiants, un gestionnaire de mots de passe prend en compte l\u2019URL r\u00e9elle, et non ce que la barre d\u2019adresse semble<\/em> afficher, ou ce \u00e0 quoi la page elle-m\u00eame ressemble. Contrairement \u00e0 un utilisateur humain, un gestionnaire de mots de passe fiable<\/a>\u00a0ne peut pas \u00eatre tromp\u00e9 par des tactiques de type \u00a0\u00bb\u00a0navigateur dans le navigateur\u00a0\u00ab\u00a0, ou toute autre ruse, comme des domaines ayant une adresse l\u00e9g\u00e8rement diff\u00e9rente (typosquattage) ou des formulaires de phishing enfouis dans des annonces et des fen\u00eatres contextuelles. La r\u00e8gle est simple\u00a0: si votre gestionnaire de mots de passe vous propose de saisir automatiquement votre nom d\u2019utilisateur et votre mot de passe, c\u2019est que vous \u00eates sur un site Internet dont vous avez pr\u00e9alablement enregistr\u00e9 les identifiants. S\u2019il n\u2019indique rien, c\u2019est que quelque chose ne tourne pas rond.<\/p>\n

En outre, en appliquant nos conseils pratiques, vous pourrez vous d\u00e9fendre contre les diff\u00e9rentes m\u00e9thodes de phishing ou, du moins, minimiser les cons\u00e9quences en cas d\u2019attaque r\u00e9ussie\u00a0:<\/p>\n