Plus encore que les malware, les attaques phishing sont celles qui coûtent le plus aux internautes dans le monde. Concrètement il s’agit de tromper l’utilisateur en usurpant l’identité de services qu’il a l’habitude d’utiliser au quotidien. Les pirates préparent de faux sites en copiant le design de pages officielles dans l’espoir de conduire leur victime à communiquer à son insu ses identifiants de connexion. Jusqu’alors, quelques vérifications d’usage permettaient de facilement déjouer ces tentatives.
Il est par exemple conseillé de bien regarder ce qui s’affiche dans la barre d’adresse : correspond-t-elle vraiment, par exemple au nom de domaine officiel du service que vous pensez consulter ? Un cadenas vert s’affiche-t-il à gauche – pour attester que la connexion est bien sécurisée ? Au-delà, diverses erreurs comme des fautes d’orthographe doivent toujours mettre la puce à l’oreille des utilisateurs. Hélas, les tentatives de phishing se perfectionnent, et grâce à une énorme faille de sécurité, les pirates peuvent désormais totalement dissimuler les tentatives de phishing.
Phishing : cette technique maligne simule l’apparition d’une page de connexion vérolée pratiquement indétectable
Cette faille est liée au fait que les navigateurs internet permettent via un peu de JavaScript de provoquer l’affichage simulé d’une fenêtre à l’intérieur d’une fenêtre de votre navigateur. Cette fenêtre ressemble à s’y méprendre à une vraie fenêtre popup séparée de la fenêtre principale. Techniquement il s’agit pourtant simplement d’un rendu graphique reprenant les traits d’une vraie popup, générée par la page, à l’intérieur de la même fenêtre. Autrement dit, lorsqu’un pirate provoque l’affichage d’une telle “popup”, aucune nouvelle fenêtre ne s’ouvre – même si la page donne l’apparence du contraire en “dessinant” la fenêtre popup en question.
Or, vous l’aurez sans doute remarqué, la plupart des services de connexion unifiée SSO officiels (Google, Apple, Facebook, Microsoft…) provoquent l’ouverture d’une fenêtre popup pour entrer vos identifiants lors de la connexion. Dès lors un nombre croissant de pirates développent des techniques de phishing reposant sur l’affichage d’une vraie-fausse fenêtre de connexion officielle via la technique du BITM que nous venons d’exposer. Un chercheur de Zscaler à l’origine de la découverte explique :
“Normalement, les mesures prises par l’utilisateur pour détecter une tentative de phishing incluent une vérification de l’URL, de l’utilisation du protocole HTTPS, ou du recours à une adresse homonyme [ou à du cybersquatting, ndlr], entre autres. Mais dans le cas de cette attaque, tous ces éléments ont l’air OK”, explique le chercheur. Une fois sur la page de phishing contrôlée par le pirate, l’utilisateur tapera sans se méfier ses identifiants, puisqu’il croit qu’il se trouve sur une page de connexion tout à fait légitime et sécurisée.
Alors que peuvent faire les utilisateurs face à cette nouvelle technique de phishing redoutable ? Il y a en fait une nouvelle habitude à intégrer dans votre checklist anti-phishing. En plus de contrôler ce qui s’affiche dans la barre d’adresse, il faut tenter de faire glisser la fenêtre de connexion hors de la fenêtre principale du navigateur. Comme il s’agit d’une popup simulée par du code Javascript, et non d’une vraie popup, la fenêtre est incapable de glisser hors d’une autre fenêtre de votre navigateur – elle disparaîtra à la frontière entre la fenêtre en question et ce qui se trouve en arrière-plan.
Lire aussi – Attention, le phishing explose sur Microsoft Teams
Ce genre de technique n’est pas 100% nouvelle puisque les premiers exemples ont été détectés dès 2020. Néanmoins le recours à la technique du BITM devient réellement plus fréquent depuis quelques temps. Pensez donc bien à garder le réflexe de faire glisser les popup de connexion hors de la fenêtre sous-jacente pour toujours vérifier que vous pouvez bien entrer vos identifiants en toute sécurité.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Avec deux copies écrans c’est mieux qu’un texte explicatif…
‘Faire glisser’
Merci
Bonjour,
La technique de faire gliser ce pop-up n’est pas praticable sur des tablettes ou smartphone car le navigateur est généralement en plein écran !!!!
Comment faire ?
Il n’y a pas de popup sur tablette.
Les popups s’ouvrent automatiquement en tant que page web dans un nouvel onglet.
Ce genre de Phishing fonctionne seulement chez ceux qui nont pas encore la double authentification non 🤔