Clé à emporter
- Un chercheur en sécurité a mis au point un moyen de créer des pop-ups de connexion à authentification unique très convaincants mais factices.
- Les faux pop-ups utilisent des URL légitimes pour paraître authentiques.
- L'astuce démontre que les personnes utilisant uniquement des mots de passe se verront voler leurs identifiants tôt ou tard, préviennent les experts.
Naviguer sur le Web devient chaque jour plus difficile.
De nos jours, la plupart des sites Web offrent plusieurs options pour créer un compte. Vous pouvez soit vous inscrire sur le site Web, soit utiliser le mécanisme d'authentification unique (SSO) pour vous connecter au site Web en utilisant vos comptes existants auprès d'entreprises réputées telles que Google, Facebook ou Apple. Un chercheur en cybersécurité a capitalisé sur cela et a conçu un nouveau mécanisme pour voler vos identifiants de connexion en créant une fausse fenêtre de connexion SSO pratiquement indétectable.
"La popularité croissante du SSO offre de nombreux avantages aux [personnes]", a déclaré Scott Higgins, directeur de l'ingénierie chez Dispersive Holdings, Inc. à Lifewire par e-mail. "Cependant, des hackers intelligents profitent désormais de cette voie de manière ingénieuse."
Fake Login
Traditionnellement, les attaquants ont utilisé des tactiques telles que les attaques homographes qui remplacent certaines des lettres de l'URL d'origine par des caractères similaires pour créer de nouvelles URL malveillantes difficiles à repérer et de fausses pages de connexion.
Cependant, cette stratégie tombe souvent à l'eau si les gens examinent attentivement l'URL. L'industrie de la cybersécurité conseille depuis longtemps aux utilisateurs de vérifier la barre d'URL pour s'assurer qu'elle contient la bonne adresse et qu'elle comporte un cadenas vert à côté, ce qui signale que la page Web est sécurisée.
"Tout cela m'a finalement amené à penser qu'il était possible de rendre le conseil "Vérifier l'URL" moins fiable ? Après une semaine de réflexion, j'ai décidé que la réponse était oui", a écrit le chercheur anonyme qui utilise le pseudonyme, mr.d0x.
L'attaque créée par mr.d0x, nommée browser-in-the-browser (BitB), utilise les trois blocs de construction essentiels du web - HTML, feuilles de style en cascade (CSS) et JavaScript - pour fabriquer un faux Fenêtre contextuelle SSO qui est pratiquement impossible à distinguer de la réalité.
« La fausse barre d'URL peut contenir tout ce qu'elle veut, même des emplacements apparemment valides. Higgins après avoir examiné m. mécanisme de d0x.
Pour démontrer BitB, mr.d0x a créé une fausse version de la plate-forme de conception graphique en ligne, Canva. Lorsque quelqu'un clique pour se connecter au faux site à l'aide de l'option SSO, le site Web affiche la fenêtre de connexion conçue par BitB avec l'adresse légitime du fournisseur SSO usurpé, tel que Google, pour inciter le visiteur à entrer ses identifiants de connexion, qui sont puis envoyé aux assaillants.
La technique a impressionné plusieurs développeurs Web. "Ooh c'est méchant: Browser In The Browser (BITB) Attack, une nouvelle technique de phishing qui permet de voler des identifiants que même un professionnel du web ne peut pas détecter", a écrit sur Twitter François Zaninotto, PDG de la société de développement web et mobile Marmelab.
Regardez où vous allez
Bien que BitB soit plus convaincant que les fausses fenêtres de connexion ordinaires, Higgins a partagé quelques conseils que les gens peuvent utiliser pour se protéger.
Pour commencer, bien que la fenêtre contextuelle BitB SSO ressemble à une fenêtre contextuelle légitime, ce n'est vraiment pas le cas. Par conséquent, si vous saisissez la barre d'adresse de cette fenêtre contextuelle et essayez de la faire glisser, elle ne dépassera pas le bord de la fenêtre principale du site Web, contrairement à une véritable fenêtre contextuelle qui est complètement indépendante et peut être déplacée vers n'importe quel partie du bureau.
Higgins a partagé que tester la légitimité de la fenêtre SSO à l'aide de cette méthode ne fonctionnerait pas sur un appareil mobile."C'est là que [l'authentification multifacteur] ou l'utilisation d'options d'authentification sans mot de passe peuvent vraiment être utiles. Même si vous étiez la proie de l'attaque BitB, [les escrocs] ne pourraient pas nécessairement [utiliser vos identifiants volés] sans les autres parties d'une routine de connexion MFA ", a suggéré Higgins.
Internet n'est pas notre maison. C'est un espace public. Nous devons vérifier ce que nous visitons.
De plus, puisqu'il s'agit d'une fausse fenêtre de connexion, le gestionnaire de mots de passe (si vous en utilisez un) ne remplira pas automatiquement les informations d'identification, ce qui vous donnera à nouveau une pause pour repérer quelque chose qui ne va pas.
Il est également important de se rappeler que même si la fenêtre contextuelle BitB SSO est difficile à repérer, elle doit toujours être lancée à partir d'un site malveillant. Pour voir un pop-up comme celui-ci, vous auriez déjà dû être sur un faux site Web.
C'est pourquoi, bouclant la boucle, Adrien Gendre, Chief Tech and Product Officer chez Vade Secure, suggère aux utilisateurs de regarder les URL chaque fois qu'ils cliquent sur un lien.
De la même manière que nous vérifions le numéro sur la porte pour nous assurer que nous nous retrouvons dans la bonne chambre d'hôtel, les gens devraient toujours jeter un coup d'œil rapide aux URL lorsqu'ils naviguent sur un site Web. Internet n'est pas notre maison. C'est un espace public. Nous devons vérifier ce que nous visitons », a souligné Gendre.
