vendredi, janvier 17, 2025
AccueilTechCe phishing de Google Chrome est pratiquement indétectable : c'est ainsi que...

Ce phishing de Google Chrome est pratiquement indétectable : c’est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

La technique de phishing « Browser In The Browser » est dangereuse et difficile à détecter, mais vous pouvez vous en protéger.

Le chercheur en cybersécurité monsieurd0x a découvert une nouvelle méthode que les attaquants pourraient utiliser pour tenter voler les identifiants de connexion de l’utilisateurpouvant ainsi accéder à des informations sensibles telles que le contenu de vos comptes Google ou Facebook.

Cette attaque a été appelée « Browser In The Browser » ou BITB, et consiste à simuler une fenêtre d’authentification unique –SSO–comme celui que de nombreux sites Web proposent d’accéder aux profils d’utilisateurs à l’aide de comptes Google, Facebook, Twitter ou Apple, entre autres.

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Les attaques de phishing sont parmi les plus utilisées pour tenter de voler les données des utilisateurs sur Internet.

Qu’est-ce que « Browser In The Browser », une technique de phishing nouvelle et sophistiquée

Il est très courant de voir comment certaines pages Web ou applications offrent la possibilité de connectez-vous avec notre compte Google, Microsoft, Facebook ou Apple. En choisissant l’une des options, un une fenêtre contextuelle s’ouvre, nous permettant d’entrer nos informations d’identification d’utilisateur pour pouvoir accéder à ladite plate-forme ou à ce site Web.

La plupart des navigateurs modernes, comme Google Chrome, fournissent mécanismes de sécurité qui sécurisent ce type de connexion. parmi eux, on peut en trouver tels que la politique de sécurité du contenu ou la politique de même origine.

Et, bien qu’ils aient essayé de développer différentes techniques pour tenter de compromettre ce type de mécanismes de sécurité, Browser In The Browser va encore plus loindepuis l’attentat créer une toute nouvelle fenêtre de navigateur, qui comprend tous les éléments que l’on peut s’attendre à voir dans une fenêtre sécurisée, comme les icônes ou l’URL. Mais en réalité, l’utilisateur saisit ses identifiants de connexion dans une fausse fenêtre.

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Une fenêtre de connexion manquante et une vraie, fondamentalement indiscernables.

Fabriquer l’attaque est relativement simple. En réalité, monsieurd0x affirme avoir pu reproduire la disposition de la fenêtre du navigateur à l’aide du code HTML et CSS basique. Malgré cela, la fenêtre est pratiquement impossible à distinguer d’une fenêtre réelle et fiable. Dans l’image animée sous ces lignes, vous pouvez voir son fonctionnement plus en détail :

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Une attaque utilisant la technique Browser In The Browser en temps réel.

De plus, le pirate a partagé sur GitHub des exemples d’implémentation de ce type d’attaque.

Comment éviter ce type d’attaque ?

Bien qu’il s’agisse apparemment d’une technique de phishing très efficace lorsqu’il s’agit de voler les informations d’identification des utilisateurs, le monsieurd0x stipule que, pour fonctionner, il faudrait d’abord obtenir le les victimes ont visité un site Web compromis et ont décidé de se connecter. Il a aussi la limitation que l’attaque n’agirait que sur les navigateurs de bureauet n’affecterait donc pas les versions mobiles d’iOS ou d’Android.

L’attaque pourrait également être éludée en cas d’utilisation d’un gestionnaire de mots de passe avec capacité de remplissage automatique champs de texte d’identification, car ce logiciel ne fonctionnerait pas dans une fausse fenêtre de navigateur.

En outre, utiliser un système de vérification en deux étapes peut nous éviter de nombreux problèmes, car même après avoir partagé nos informations d’identification avec un supposé attaquant, il devrait toujours avoir accès au code de vérification pour accéder au compte.

Rubriques connexes: Google Chrome

logo disney

Inscrivez-vous à Disney+ pour 8,99 euros et sans permanence

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. ?

Top Infos

Coups de cœur