De fausses fenêtres Chrome plus vraies que nature veulent voler vos identifiants

Un phishing d'un nouveau genre mis au point par un expert en sécurité. Il deviendrait quasiment impossible de détecter la supercherie.

L’un des meilleurs conseils que l’on puisse suivre pour se prémunir du phishing et éviter de donner ainsi ses identifiants à des personnes malintentionnées sur des sites que l’on croit tout à fait légitimes, c’est de bien regarder l’URL du site qui est affiché. En effet, si vous tentez de vous connecter sur Facebook, mais que l’URL dans la barre d’adresse indique autre chose, il y a de fortes chances que ce soit là une tentative de phishing.

Un phishing d’un nouveau genre mis au point par un expert en sécurité

Vous pouvez – devriez, même – vérifier aussi les URL des fenêtres popup utilisées pour les systèmes d’authentification via Google, Apple, Facebook, etc. Malheureusement, les travaux du chercheur en sécurité mr.dox viennent mettre à mal cette bonne pratique. Ce spécialiste a mis au point un nouveau type d’attaque navigateur-dans-le-navigateur qui, en théorie, permet à des hackers de recréer des SSO qui affichent la “bonne” URL, venant ainsi parfaitement tromper l’utilisateur et augmenter grandement les chances de pouvoir récupérer ses identifiants.

Il deviendrait quasiment impossible de détecter la supercherie

Interrogé par BleepingComputer, mr.dox expliquait au site que ces templates sont même assez faciles à utiliser et peuvent être mis en place pour des navigateurs comme Google Chrome, qui est l’un des plus populaires dans le monde actuellement. Le problème avec ces attaques, c’est que, par le passé, les utilisateurs expérimentés pouvaient facilement repérer qu’il y avait quelque chose de différent, dans les images, le style global, pas uniquement dans l’URL, mais aujourd’hui, avec les templates que mr.dox a créé, il est quasiment impossible de faire la différence. Jugez plutôt avec la comparaison dans l’image ci-dessus.

La bonne nouvelle, c’est que, puisque cette faille est désormais totalement publique, les entreprises comme Google, Apple, Microsoft ainsi que les développeurs de navigateurs devraient mettre au point des contre-mesures pour rendre inutilisable ce genre de d’attaque et proposer une expérience de navigation sûre à leurs utilisateurs.