Un chercheur en sécurité a démontré les dangers potentiels d’une technique de phishing qui consiste à simuler une fenêtre pop-up afin d’usurper un domaine légitime.
La technique mise en évidence par le chercheur, qui porte le nom en ligne de mr.d0x, illustre un problème connu qui est quelque peu sous-médiatisé plutôt qu’une toute nouvelle astuce de piratage.
L’approche consistant à usurper une fenêtre de connexion à une page pop-up est néanmoins dangereuse car elle sape le conseil standard selon lequel les internautes doivent « vérifier l’URL » des sites.
A LIRE AUSSI Firefox corrige un bogue de contournement des notifications en plein écran
La principale limitation de l’attaque dite « navigateur dans un navigateur » est qu’une cible potentielle devrait d’abord être amenée à visiter un site Web contrôlé par l’attaquant avant que la fenêtre contextuelle ne s’affiche.
« Mais une fois arrivé sur le site Web appartenant à l’attaquant, l’utilisateur sera à l’aise lorsqu’il saisira ses informations d’identification sur ce qui semble être le site Web légitime (parce que l’URL de confiance le dit) », explique mr.d0x.
UN article de blog technique par mr.d0x explique la technique plus en profondeur
La fenêtre pop-up usurpée ne remplira pas automatiquement les mots de passe, une limitation potentielle à la technique qui est néanmoins délicate.
Se prémunir contre ce type de malversation par défaut peut être difficile pour les fournisseurs, mais les fabricants de navigateurs interrogés par La gorgée quotidienne étaient néanmoins convaincus qu’ils avaient le dossier bien en main.
Un porte-parole de Mozilla a déclaré La gorgée quotidienne: « Il est important d’être conscient des pièges du phishing. Nous vous recommandons également d’utiliser un gestionnaire de mots de passe, comme celui qui est inclus dans le navigateur Firefox, et si possible des technologies résistantes au phishing comme WebAuthn.
Microsoft, qui développe le navigateur Edge, et Google se sont refusés à tout commentaire.
Détecter automatiquement si un programme (ou une page Web) donné est malveillant ou non est un problème auquel l’industrie informatique est confrontée depuis des années. Chaque navigateur majeur dispose d’une solution anti-phishing basée sur des listes de blocage, mais cette approche est incomplète.
Généralement insoluble
Cezary Cerekwicki, responsable de la sécurité des produits chez Opera Software, créateur du célèbre navigateur Opera, a déclaré La gorgée quotidienne que « la triste vérité sur l’intégralité de la soi-disant ingénierie sociale est qu’elle est généralement insoluble pour des raisons techniques ».
Le chercheur mr.d0x a accepté certaines des difficultés mais a fait valoir que les fabricants de navigateurs devraient néanmoins faire plus, en partie parce que les utilisateurs se sont habitués à une fenêtre contextuelle du navigateur demandant des informations d’identification, d’où la puissance potentielle de la technique de phishing.
« Ce type d’attaque est difficile à détecter visuellement car la fausse fenêtre ressemble exactement à une vraie fenêtre avec quelques différences mineures assez difficiles à remarquer », a déclaré mr.d0x. La gorgée quotidienne.
« Quelque chose que les navigateurs peuvent faire, c’est que leurs fenêtres soient marquées avec autorité avec quelque chose qui ne peut pas être reproduit avec HTML/CSS. Bien sûr, c’est plus facile à dire qu’à faire. »
