Un chercheur a mis au point une technique qui permet de créer des formulaires de connexion pirates qui deviennent très difficiles à détecter.
Le phishing ou hameçonnage en français est presque une technique pirate vieille comme le monde, à l’échelle de la cybersécurité. Il n’est pas étonnant de la voir ainsi évoluer. Sauf qu’on peut s’inquiéter de cette évolution, avec l’apparition d’une technique, relativement nouvelle, qui est susceptible de piéger un grand nombre d’utilisateurs, même les plus avertis.
Une technique de phishing indétectable…
C’est de plus en plus courant, vous savez, cette fameuse page de connexion qui se présente sur votre navigateur en tentant de vous faire croire que vous vous rendez par exemple sur Facebook, Outlook ou Google (ou tous les sites qui utilisent le protocole OAuth) et via laquelle vous devez renseigner vos identifiants. Souvent, on peut, par élimination, deviner quelle page est légitime et quelle page ne l’est pas. Les pirates sont notamment trahis par l’URL, pas sécurisée ou du type facebOOk .com ou g00gle .fr. L’utilisateur un peu attentif, sans être spécialement averti, peut dénicher la supercherie.
Sauf qu’un chercheur en cybersécurité et développeur, qui répond au pseudo de mrd0x, s’est aperçu que ces fameux formulaires de connexion de phishing pouvaient, à l’aide de fausses fenêtres de navigateur Chrome , être désormais plus crédibles que jamais.
Ce dernier a en effet mis au point une BitB, une attaque « Browser in the Browser », c’est-à-dire navigateur dans le navigateur, une sorte de mise en abîme informatique qui vient utiliser un modèle prédéfini pour créer une fausse fenêtre contextuelle Chrome qui bluffe son monde et comporte une URL d’adresse personnalisée mais qui, à première vue, nous semble tout à fait légitime.
Le chercheur a publié, sur la plateforme GitHub, un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB depuis le navigateur de la firme de Mountain View, Google Chrome. Et celle-ci fonctionne sur la plupart des grands réseaux sociaux ou applis SaaS les plus connues.
Si l’attaque n’est donc pas inédite sur la forme, vous l’aurez compris, c’est surtout le fond qui est surprenant, puisque l’attaquant est désormais susceptible de tromper l’utilisateur, jusque dans l’URL, avec une technique qui utilise diverses astuces HTML et feuilles de style (CSS) qui aident à imiter de manière très convaincante la fenêtre qui est censée s’ouvrir, pour vous demander de vous connecter à un réseau social ou à une plateforme. Il ne s’agit pas ici de donner de mauvaises idées ni de les relayer, car la technique a déjà été repérée auparavant, en 2020 notamment lorsque des hackers ont tenté de dérober des identifiants pour accéder à la plateforme de jeux vidéo Steam .
Et si vous pensez que c’est sans espoir, ne partez pas trop vite, car cette méthode, bien que – très – convaincante, souffre quand même de quelques petits défauts. Si les véritables fenêtres OAuth peuvent par exemple être redimensionnées ou déplacées sur votre écran, puisque considérées comme une instance distincte du navigateur et de sa page principale, ce n’est pas le cas des fenêtres BitB, qu’il est impossible de redimensionner, puisqu’il s’agit d’images en HTML et CSS. L’autre solution reste d’utiliser un gestionnaire de mot de passe , qui ne remplira pas les identifiants sur des formulaires BitB, car ceux-ci sont rappelons-le factices. Il ne les reconnaîtra donc pas. Enfin, pour éviter tout danger, privilégiez, dès que vous le pouvez, l’authentification à multiples facteurs.