BitB : nouvelle technique de phishing pour récupérer votre mot de passe

22 mars 2022 à 18h00
8
Phishing

Un chercheur a mis au point une technique qui permet de créer des formulaires de connexion pirates qui deviennent très difficiles à détecter.

Le phishing ou hameçonnage en français est presque une technique pirate vieille comme le monde, à l'échelle de la cybersécurité. Il n'est pas étonnant de la voir ainsi évoluer. Sauf qu'on peut s'inquiéter de cette évolution, avec l'apparition d'une technique, relativement nouvelle, qui est susceptible de piéger un grand nombre d'utilisateurs, même les plus avertis.

Une technique de phishing indétectable…

C'est de plus en plus courant, vous savez, cette fameuse page de connexion qui se présente sur votre navigateur en tentant de vous faire croire que vous vous rendez par exemple sur Facebook, Outlook ou Google (ou tous les sites qui utilisent le protocole OAuth) et via laquelle vous devez renseigner vos identifiants. Souvent, on peut, par élimination, deviner quelle page est légitime et quelle page ne l'est pas. Les pirates sont notamment trahis par l'URL, pas sécurisée ou du type facebOOk .com ou g00gle .fr. L'utilisateur un peu attentif, sans être spécialement averti, peut dénicher la supercherie.

Sauf qu'un chercheur en cybersécurité et développeur, qui répond au pseudo de mrd0x, s'est aperçu que ces fameux formulaires de connexion de phishing pouvaient, à l'aide de fausses fenêtres de navigateur Chrome , être désormais plus crédibles que jamais.

Ce dernier a en effet mis au point une BitB, une attaque « Browser in the Browser », c'est-à-dire navigateur dans le navigateur, une sorte de mise en abîme informatique qui vient utiliser un modèle prédéfini pour créer une fausse fenêtre contextuelle Chrome qui bluffe son monde et comporte une URL d'adresse personnalisée mais qui, à première vue, nous semble tout à fait légitime.

Facebook fake BitB © mr.d0x
À gauche, un faux formulaire de connexion ; à droite, un vrai (© mrd0x)

… ou presque !

Le chercheur a publié, sur la plateforme GitHub, un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB depuis le navigateur de la firme de Mountain View, Google Chrome. Et celle-ci fonctionne sur la plupart des grands réseaux sociaux ou applis SaaS les plus connues.

Si l'attaque n'est donc pas inédite sur la forme, vous l'aurez compris, c'est surtout le fond qui est surprenant, puisque l'attaquant est désormais susceptible de tromper l'utilisateur, jusque dans l'URL, avec une technique qui utilise diverses astuces HTML et feuilles de style (CSS) qui aident à imiter de manière très convaincante la fenêtre qui est censée s'ouvrir, pour vous demander de vous connecter à un réseau social ou à une plateforme. Il ne s'agit pas ici de donner de mauvaises idées ni de les relayer, car la technique a déjà été repérée auparavant, en 2020 notamment lorsque des hackers ont tenté de dérober des identifiants pour accéder à la plateforme de jeux vidéo Steam .

Et si vous pensez que c'est sans espoir, ne partez pas trop vite, car cette méthode, bien que - très - convaincante, souffre quand même de quelques petits défauts. Si les véritables fenêtres OAuth peuvent par exemple être redimensionnées ou déplacées sur votre écran, puisque considérées comme une instance distincte du navigateur et de sa page principale, ce n'est pas le cas des fenêtres BitB, qu'il est impossible de redimensionner, puisqu'il s'agit d'images en HTML et CSS. L'autre solution reste d'utiliser un gestionnaire de mot de passe , qui ne remplira pas les identifiants sur des formulaires BitB, car ceux-ci sont rappelons-le factices. Il ne les reconnaîtra donc pas. Enfin, pour éviter tout danger, privilégiez, dès que vous le pouvez, l'authentification à multiples facteurs.

Bitdefender Total Security 2022
  • Excellent rapport fonctionnalités/prix de l'abonnement
  • Efficacité sans faille du service
  • Impact sur les performances léger

Bitdefender Total Security 2022 continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter, bloquer tout type de menace provenant d'Internet, la suite fait un sans faute, et ce sans détecter de faux positif ni causer d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si on salue toujours l'effort didactique de l'éditeur. Sans aucun doute une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement.

Bitdefender Total Security 2022 continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter, bloquer tout type de menace provenant d'Internet, la suite fait un sans faute, et ce sans détecter de faux positif ni causer d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si on salue toujours l'effort didactique de l'éditeur. Sans aucun doute une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement.

Sources : mrd0x , ArsTechnica

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
9
gothax
Magnifiquement machiavélique et bien pensé !
ar-s
OK, mais le lien principal de phishing, c’est bien celui du mail, et ce dernier est toujours facilement affichable. LA BASE de l’utilisation d’internet devrait commencer par l’apprentissage de ce genre de détections qui sont pour 98% des cas (chiffre évalué par moi même) très facile à identifier comme faux.<br /> Moi je m’en fout, mon métier est de réparer les OS et les PC donc ça me fait manger. Mais en tant que passionné, je trouve ça tellement navrant de se faire avoir par ce genre de connerie. C’est comme le piège au faux support technique… ça m’a rapporté beaucoup alors que j’explique à chaque client victime comment reconnaître une connerie d’un vrai soucis.
Garden_Dwarf
Les gens qui sont attirés (passionnés, ayant des affinités, etc.) par l’informatique seront certainement au courant via les médias (dont Clubic) et feront attention.<br /> Par contre les autres, je pense qu’ils s’en phishent (désolé, pas pu me retenir ^^). Ils vont sur des sites (ou achètent des journaux) et lisent les informations qui correspondent à leurs centres d’intérêt. Ceux-là, il faudrait mieux les encadrer car ils ne feront probablement pas la démarche de leur propre chef.
xryl
Si les véritables fenêtres OAuth peuvent par exemple être redimensionnées ou déplacées sur votre écran, puisque considérées comme une instance distincte du navigateur et de sa page principale, ce n’est pas le cas des fenêtres BitB, qu’il est impossible de redimensionner<br /> Pour l’instant… Rien n’empêche la version 2 qui rajoute, avec un peu de JS, le redimensionnement et le resize. De toute façon, qui resize ou déplace ces fenêtres ?<br /> La seule alternative, c’est d’avoir un theme qui ne soit pas celui par défaut. Impossible pour le pêcheur de savoir quel thème vous utilisez. Donc les fenêtres ne seront pas légitimes.
ld9474
Je comprends la recherche mais par contre publier ca en Open Source je trouve ca très très moyen.
nicgrover
« Le chercheur a publié, sur la plateforme GitHub, un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB depuis le navigateur de la firme de Mountain View, Google Chrome. »<br /> Le terme « chercheur » me gêne puisque, apparemment, il ne s’agit que d’un escroc comme un autre. A moins que je ne me trompe…
MattS32
ar-s:<br /> OK, mais le lien principal de phishing, c’est bien celui du mail, et ce dernier est toujours facilement affichable.<br /> Non, pas forcément. Un phishing ne commence pas forcément par un mail. Le point de départ peut par exemple être un site parfaitement légitime, qui utilise Facebook pour sa gestion de commentaires, et qui a été piraté… Le pirate modifie le site pour injecter sa fausse fenêtre de connexion à Facebook, et hop, il ramasse les comptes de ceux qui veulent se connecter au site… Ça peut même se faire sans vraiment pirater le site, avec un malware (par exemple, une extension de navigateur qui va automatiquement détecter les boutons de connexion Facebook et injecter ce faux formulaire).<br /> xryl:<br /> Rien n’empêche la version 2 qui rajoute, avec un peu de JS, le redimensionnement et le resize.<br /> Il y a des comportements des vrais fenêtres qui ne sont pas simulables, par exemple le fait de faire sortir la fenêtre de l’espace de la fenêtre parente, de la passer par-dessus ou par-dessous une autre fenêtre, ou encore l’icône de la fenêtre dans la barre des tâches ou le menu Alt-Tab. Cela dit, je me demande s’il n’y a pas moyen dans certaines conditions de faire une vraie fenêtre popup sans barre d’adresse… Et donc d’y mettre la fausse barre qui passerait pour la vraie…<br /> nicgrover:<br /> Le terme « chercheur » me gêne puisque, apparemment, il ne s’agit que d’un escroc comme un autre. A moins que je ne me trompe…<br /> Oui, tu te trompes. Un escroc comme un autre, il ne rendrait pas ça publique, il l’exploiterait dans son coin, à son profit, aussi longtemps que possible.<br /> Là en le rendant public, il informe le public sur le risque et des moyens de le réduire (vérifier qu’il s’agit d’une vraie fenêtre, gestionnaire de mots de passe, etc…), et il partage également ça avec ceux qui peuvent éventuellement travailler sur des contre-mesures intégrées au sein des navigateurs et/ou des logiciels de sécurité. C’est donc bien un travail de recherche, dans le but d’améliorer la sécurité.
MaxSpirit
La double authentification devrait alors être un impératif obligatoire (au moins sur les sites et applicatifs SSO).
nicgrover
Alors je reste sans voix… Je pensais que la phrase « un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB… » était compréhensible par le quidam du coin mais il semble que non.<br /> Chers « clubiciens » demain je mets en ligne la combinaison du coffre de mon voisin. Je suis un chercheur et j’ai trouvé cette combinaison en cherchant alors j’en fais profiter le public afin qu’il se prémunisse des fois que certains aient le même coffre et la même combinaison… Si vous souhaitez l’adresse dudit voisin, demandez à jesuisunchercheur@unvrai.com… (prononcer on).
MattS32
nicgrover:<br /> Alors je reste sans voix… Je pensais que la phrase « un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB… » était compréhensible par le quidam du coin mais il semble que non.<br /> Faut surtout pas prendre la formulation d’un journaliste pour argent comptant hein… Va voir ce qu’il y a dans son repo GitHub. Tu verras que c’est loin d’être complet, et surtout, loin d’être « facile ». La partie qui est fournie est extrêmement superficielle et ne permet AUCUNE attaque en l’état.<br /> Il y a juste quelques templates de page incluant une fausse fenêtre popup VIDE, ne reproduisant PAS les formulaires de connexion (donc si on veut faire une attaque, faut se taper le boulot de reproduire le style des formulaires existants). Et il n’y a pas non plus le code côté serveur pour récupérer ce qui est saisi dans les formulaires (forcément, puisqu’il n’y a même pas les formulaires…).<br /> En gros, quelqu’un qui sait coder, à partir de l’explication qui est donnée dans l’article de Clubic, si il veut faire une attaque basée sur cette idée, il gagne 1h grâce à ces templates, tout au plus. Celui qui sait pas coder, il aura beau avoir ces templates, il pourra rien en faire.<br /> En exagérant à peine, c’est comme si je publiais un scan 3D de l’extérieur de ma voiture en disant « ces données permettent à chacune de fabriquer assez facilement sa propre voiture »…
xryl
MattS32:<br /> donc si on veut faire une attaque, faut se taper le boulot de reproduire le style des formulaires existants<br /> C’est à dire sélectionner le code de l’iframe dans l’inspecteur HTML, faire Ctrl + C, ouvrir un éditeur de texte, et faire Ctrl + V. Puis faire la même chose avec la fenêtre « Style » (et là pas besoin d’être précis, un Ctrl + A suivi d’un Ctrl + C et c’est plié).<br /> Ah, j’oubliais, il faut aussi récupérer le logo 3D secure (bouton droit sur l’image, « Sauvegarder sous ») et, comble d’expertise celui de la banque. Bref, c’est horriblement long comme boulot…<br /> Par contre proposer un script qui imite le design du navigateur en cours (par détection de l’OS, du browser, du thème clair/foncé, etc…) là c’est clairement du boulot.
MattS32
xryl:<br /> Par contre proposer un script qui imite le design du navigateur en cours (par détection de l’OS, du browser, du thème clair/foncé, etc…)<br /> Ben non, même ça il ne le fournit pas. Il fournit les templates pour Chrome sur Mac et Windows 10 avec ou sans dark mode. Mais il ne fournit ni le script pour instancier automatiquement le bon template, ni les templates pour d’autres navigateurs et d’autres OS. Et pour Windows 10, c’est uniquement avec le jeu de couleurs de base de l’OS, jeu de couleurs qui est bien souvent différent en pratique, puisque par défaut Windows 10 change automatiquement le jeu de couleurs en fonction du fond d’écran…<br /> Vraiment, ce qu’il fournit, c’est 1h de boulot pour un mec qui connait bien HTML, CSS et JS.<br /> Et un mec qui arrive à reproduire sans bug les formulaires de connexion, il doit de toute façon connaitre ces langages. Un simple copier coller depuis l’inspecteur à toutes les chances de donner un truc buggé (et qui enverra pas les données de formulaire là où tu veux)…<br /> J’ai fait le test avec celui de Google, j’obtiens quelques défaut de style (qui peuvent éventuellement passer inaperçu), mais surtout un bouton « Suivant » totalement inopérant… Faire les modifications pour rendre ça utilisable, donc avec un bouton qui marche ET qui envoie les données vers la bonne adresse, et pas vers celle de Google, ça nécessite un minimum de compétence en HTML/CSS/JS. Compétences avec lesquelles faire une fenêtre imitant une fenêtre de navigateur, c’est pas bien compliqué hein, les interfaces des navigateurs ne sont pas d’une grande complexité…<br /> Et d’ailleurs, pour Google par exemple, même celui qui arrive à reproduire de façon fonctionnelle le premier écran de connexion (celui où on saisit l’adresse), il va avoir beaucoup plus de mal à reproduire le second, celui où on saisit le mot de passe : au-dessus du champ de saisi de mot de passe, ce second écran affiche les noms, prénoms et avatars associés au compte Google saisi à la première étape…<br /> Bref, je persiste, non, ce GitHub ne fournit rien qui permette à tout un chacun d’exploiter cette faille facilement, il fait gagner un tout petit peu de temps, mais le plus gros du taf reste à faire. Et encore, je ne parle que du taf technique de base, le minimum vital pour avoir quelque chose d’à peu près fonctionnel… Parce qu’après faut aussi faire un faux site qui justifie que l’utilisateur essaye de s’y connecter avec son compte Google/Microsoft/Autre (donc faire une copie d’un site existant et utilisant ce système d’authentification), puis réussir à amener les gens sur ce site et à les pousser à se connecter…
Richard777
moyen ou mauvais?
ld9474
Je comprends pas trop tes explications. J’avoue j’ai pas pris le temps d’aller voir le GitHub. Ce que je comprends c’est que le gars a mis toute la base et qu’il ne reste plus qu’à cabler (vers le serveur idoine) et faire en sorte qu’un bouton fasse une action. Si c’est le cas, y a plus grand chose à faire non plus et n’importe quel dev amateur est capable de le faire. Si j’ai mal compris j’en suis désolé.
MattS32
ld9474:<br /> Ce que je comprends c’est que le gars a mis toute la base et qu’il ne reste plus qu’à cabler (vers le serveur idoine) et faire en sorte qu’un bouton fasse une action.<br /> Non, il ne reste pas juste à câbler vers le serveur idoine. Le serveur idoine, il n’existe pas, il faut le faire.<br /> Ce qu’il fournit, c’est juste le template pour faire une fenêtre dans le navigateur :<br /> 853×801 17.3 KB<br /> Vraiment, c’est 1h de boulot pour quelqu’un qui connait bien HTML/CSS/JS.<br /> Ce qu’il reste à faire :<br /> implémenter en HTML/CSS/JS un faux formulaire de login identique à celui de Google/Microsoft/etc…,<br /> implémenter côté serveur le code pour récupérer les données saisies,<br /> créer un faux site reproduisant un site utilisant Google/Microsoft/etc… pour sa gestion de compte,<br /> intégrer les templates à ce faux site, en ajoutant le code nécessaire pour instancier le bon template en fonction de l’OS, du navigateur et de l’activation ou non du mode nuit… Sachant que les templates fournis ne sont QUE pour Chrome et seulement pour macOS et Windows 10… Et encore, comme je l’ai dit plus haut, sous Windows 10 il y a peu de chances qu’ils collent réellement avec le jeu de couleur utilisé (et à priori, aucun moyen de le faire coller…)<br /> piéger des utilisateur du site pour les faire aller à leur insu sur le faux (donc avoir une bonne URL qui fasse illusion notamment…),<br /> et espérer qu’ils veuillent se connecter.<br /> Bref, y a 1h de travail fournie et des heures de travail de reste à faire…<br /> L’étape de création d’un faux site et piégeage des utilisateurs pour les faire aller dessus à la place du vrai peut éventuellement être remplacée par une étape piratage du vrai site pour intégrer directement le piège dessus ou diffusion d’une extension de navigateur vérolée qui va automatiquement intégrer le faux formulaire à la place du vrai sur tous les sites l’utilisant. Mais c’est pas spécialement plus facile…<br /> Ou sinon on peut aussi créer un faux site qui ne soit pas une copie d’un vrai, mais va falloir y mettre du contenu qui incite les gens à s’y identifier, les gens vont pas s’identifier spontanément sur le premier site venu…
Richard777
Vous seriez surpris de connaitre la quantité d’idiots qui croient fermement qu’en ayant une imprimante 2D qu’on peut reproduire n’importe quoi et il sera fonctionnel tel un moteur de voiture ou un organe humain. Ils ne réalisent pas la différence entre avoir une image réussie et avoir le vrai objet fonctionnel.
Voir tous les messages sur le forum

Lectures liées

Une visiteuse de Disney World se fait extorquer 40 000 dollars via son Apple Watch
Bon plan VPN : préservez votre anonymat en ligne avec ces 3 offres à prix fou !
Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Attention à ce malware qui se propage et menace votre navigateur
Découvrez Proton, la toute nouvelle identité visuelle de ProtonMail
Opera VPN Pro est désormais disponible sur Windows et macOS
Zoom sur Fronton, le botnet russe qui multiplie les fake news sur les réseaux
YouTube retire 70 000 vidéos de désinformation pour contrecarrer la propagande russe sur la guerre en Ukraine
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Ce bug dans PayPal permet à un hacker de manipuler les transactions
Haut de page