Un chercheur en sécurité vient de prouver qu’il est possible d’imiter facilement et parfaitement des fenêtres de connexion à des services en ligne. Une technique simple, mais difficile à détecter et qui devrait faire des ravages...
Il va désormais falloir faire très attention quand on se connecte à un compte associé à un service en ligne. Comme l’a révélé un site américain, un chercheur en sécurité vient de montrer qu’il est extrêmement simple de créer de fausses fenêtres contextuelles de connexion pour voler des identifiants et des mots de passe d’utilisateurs. Et pour prouver ses dires, cet expert a même publié des modèles prêts à l’emploi permettant de générer des imitations plus vraies que nature pour les systèmes Chrome, Windows et MacOs, utilisables par des hackers en herbe pour pirater des comptes Google, Microsoft, Facebook, Apple et autres. De quoi faire des millions de victimes, car l’usurpation est particulièrement difficile à détecter, même par des utilisateurs avertis et prudents…
La méthode mise en œuvre par le chercheur ne requiert pas de connaissances techniques très poussées. Reposant sur les langages HTML et JavaScript, et les feuilles de style CSS – des outils très courants –, elle permet de créer très facilement des fenêtres de connexion identiques à celles qui s’affichent dans un navigateur Web, quand on veut se connecter à un service en ligne via un compte Google, Facebook ou autre, une proposition très courante sur internet. L’imitation est presque parfaite. Y compris dans les détails : texte, champs, boutons, couleurs, tout est fidèle à l’original. Aucune raison de se méfier a priori.
Mais le pire, c’est que les habituels indices permettant de détecter la supercherie dans les tentatives de phishing sont également maquillés. Ainsi, avec JavaScript, l’URL qui s’affiche furtivement lorsque l’on passe la souris au-dessus d’un bouton ou d’un lien peut parfaitement être remplacée par une adresse légitime sous forme de texte tout en pointant en fait vers une page dangereuse, sur les serveurs du hacker. Idem pour le petit cadenas situé devant l’URL principale dans le navigateur, qui signale en principe que la connexion est sécurisée, mais qui est remplacée par une simple image… L’illusion est parfaite.
La démonstration du chercheur a de quoi effrayer. D’autant qu’il fournit des kits d’hameçonnage prêts à l’emploi ! Et le seul moyen de détecter le piège, c’est de surveiller attentivement l’adresse du site Web sur lequel on aboutit avant l’affichage de la fenêtre contextuelle de connexion falsifiée. Adresse douteuse qui doit alerter, car, pour l’heure, elle ne peut correspondre qu’au serveur du pirate. Autant dire que ce genre de détail peut passer complètement inaperçu, surtout si l’on est pressé. Et que cette méthode aussi simple qu’efficace risque de faire de nombreuses victimes si personne ne trouve la parade…
Sources : rédaction et web