Y a une arête dans le bifteck ! La pêche aux onglets est ouverte...

Vous connaissez tous le phishing, cette attaque informatique qui pêche vos informations personnelles, et dont bon nombre d’anecdotes sont plébiscitées par les médias. Une nouvelle forme de l’attaque vient de paraître, encore plus innovante qu’auparavant : la pêche aux onglets. Pour être comme un poisson dans les eaux mouvementées d’Internet, et nager en toute sécurité en évitant les hameçons, ce post vous explique la méthode d’attaque et les moyens de s’en protéger.

Un peu d’histoire

La technique de phishing, apparue initialement en 1996 connaît un essor assez important en 2003, avec la popularisation des webmails. Le principe est simple : les pirates informatiques effectuent des envois de mails massifs en vous faisant croire par des moyens divers que ces derniers proviennent de votre banque, Paypal ou même votre FAI (copie de la charte graphique, adresses à forte ressemblance). L’objectif de ces mails, qui contiennent des liens malicieux, est de récupérer vos identifiants de connexion que vous-même allez envoyer aux malfrats en vous identifiant sur la page imitant un site connu (votre banque…). La première grosse vague qui a touché les internautes français a ciblé les quatre banques principales en 2005 et provenait de Russie. Depuis, cette popularité ne cesse de croître. D’après Gartner, le nombre de victimes de phishing est en constante progression et augmente de plus de 50% par an rien qu’aux Etats-Unis.

La dernière technique !

Ce type d’arnaque devient de plus en plus connu de tous, et il est contournable par des bases anti-phishing présentes dans les navigateurs. Mais un nouveau type de phishing a fait surface dernièrement. Fort ingénieux, son nom est le « tabjacking », ou encore le « tabnabbing ». Gare à ceux qui utilisent Firefox, Chrome ou Safari, car d’après ce qu’annoncent les personnes ayant découvert la faille, vous êtes une victime potentielle. Pour ma part ayant effectué des tests, je constate que la vulnérabilité est également présente sur Internet Explorer. Un conseil personnel, ne vous fiez pas aux annonces sur « IE est certifié le plus secure par Microsoft »…

Comment fonctionne le tabjacking ?

Pendant votre navigation quotidienne, vous ouvrez dans un de vos onglets une page qui contient un code malicieux. Ce code malicieux va, pendant que vous surferez sur d’autres onglets, remplacer le contenu de la page par un site d’authentification que vous avez l’habitude d’utiliser (au hasard – Gmail). Comme vous ne vous méfiez pas, vous ressaisissez votre identifiant et mot de passe sur le site, car évidemment vous êtes le seul à l’origine de l’ouverture de l’onglet en question ! Et ainsi cela permet aux pirates de récupérer, au fil de l’eau, les identifiants et mots de passe d’un grand nombre de personnes.

Trending

Le Product Owner vu par les développeurs

Un exemple vaut mieux qu’un long discours : voici une video avec le PoC (Proof Of Concept) de la page Gmail contrefaite.

Pour voir la vidéo, cliquez ici.

La leçon à retenir

Pour ne pas se faire prendre dans le filet, le tout, comme avec l’e-mail, est de bien faire attention à l’url à laquelle vous êtes connecté, surtout lorsqu’on vous demande de saisir un mot de passe. Des réflexes qui doivent devenir des gestes quotidiens et faire de vous et de vos collaborateurs des utilisateurs avertis et sereins.

Sachez également que dans la loi française le « phishing » est reconnu comme un crime ! Si vous êtes victime, vous pouvez porter plainte pour escroquerie et/ou usurpation d’identité. Mais inutile de vous préciser qu’il vaut mieux ne pas avoir à en arriver là…

Pour aller plus loin :
Les exemples : http://www.arobase.org/arnaques/phishing.htm
L’article complet détaillant la faille ainsi que le code javascript exploitable : http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/