Attention aux fausses fenêtres pop-up de connexion ! Le chercheur en sécurité « mr.d0x » a montré qu’il était possible d’imiter ces contrôles d’accès pour qu’ils soient visuellement indétectables des originaux produits par Facebook, Microsoft et consorts. Le plus inquiétant est que les techniques utilisées sont loin d’être complexes, car elles s’appuient simplement sur le langage HTML/JavaScript et les feuilles de style CSS.
En combinant astucieusement le tout, on obtient une fenêtre de connexion parfaite, idéale pour faire de l’hameçonnage. Même l’URL semble totalement légitime… alors qu’en réalité il s’agit juste d’une banale barre de texte. Et le petit cadenas — censé montrer la présence d’une connexion TLS sécurisée — n’est rien d’autre qu’une image GIF. Un vrai travail d’orfèvre, comme le prouve la maquette de connexion à Facebook ci-dessous.
Inspecter le bouton ou le lien qui va lancer cette fenêtre ne permet pas non plus de détecter le pot aux roses. Grâce au JavaScript, il est possible de renseigner une URL qui s’affichera lorsque le curseur passe par-dessus, mais d’en exécuter une autre si l’on clique dessus. Malin !
Toutefois, il existe quand un moyen pour se rendre compte de cette arnaque. Le lancement de cette fausse fenêtre de connexion ne peut se faire que depuis un faux site Web, qui affichera forcément une URL douteuse. Mais encore faut-il s’en rendre compte. À titre d’exemple, le hacker a mis en ligne sur GitHub des maquettes de connexion et une petite vidéo de démonstration. Désormais, vous voilà prévenu.
Source : mr.d0x (via Hacker News)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
