L’ANSI, l’Agence nationale de sécurité informatique, avertit d’une nouvelle technique d’hameçonnage (ou Phishing), le Browser in the Browser (BITB). En effet, elle est en train d’être exploitée par les pirates. Et ce, dans le but de piéger un grand nombre d’utilisateurs sur Internet.
L’ANSI recommande par ailleurs d’utiliser un gestionnaire de mots de passe. Sachant que la plupart des navigateurs ou solutions antivirales en proposent un. Ainsi, il pourra détecter ce type d’attaque et avertir l’utilisateur; et ce, avant qu’il ne soit trop tard.
A cet égard, notons que la technique Browser in the Browser permet de répliquer, parfaitement, une fenêtre d’authentification. Telle que celles utilisées par Facebook, Google ou Microsoft. En outre, elle est redoutablement efficace. Puisque que la fenêtre que crée le pirate comporte le même nom de domaine du site et une connexion sécurisée Https…
Le pirate exploite donc une vulnérabilité dans un site tiers qui propose de se connecter (Single Sign-on) avec un compte Facebook, Gmail ou Microsoft (ou autre). Et ce, pour piéger l’utilisateur avec une fenêtre parfaitement identique à celle des fenêtres originales d’authentification.
De plus, cette technique, facilement implémentable avec JavaScript, permet de stimuler tout le processus d’authentification. Envoyant les paramètres d’accès à un serveur créé par le pirate.
En somme, pour se protéger des attaques BITB, l’ANSI appelle à faire preuve de vigilance. Et ce, en vérifiant l’authenticité du site qui génère les fenêtres d’authentification et qui propose aux utilisateurs de se connecter avec leurs comptes Gmail, Facebook ou autre. De ce fait, la recommandation consiste d’éviter de se connecter via des sites inconnus qui proposent ce type d’authentification.
Et pour finir, l’ANSI exhorte les utilisateurs d’internet à activer l’authentification forte. Laquelle permet de renforcer la sécurité des comptes même lorsque les paramètres d’accès sont compromis. De plus, la plupart des sites tels que Google, Facebook ou Microsoft proposent cette fonctionnalité.
Avec TAP