Une fausse fenêtre de navigateur a été conçue pour faire croire aux internautes qu’il s’agit de la page de connexion demandée. En effet, d’après Bleeping Computer, un chercheur a réussi à mettre au point une nouvelle forme de présentation des fenêtres pop-up de connexion qui fait croire aux utilisateurs qu’ils communiquent leurs données privées à un site fiable. Concrètement, il a créé une fenêtre de navigateur ornée de signaux de confiance grâce aux modèles d’attaque “Browser in the Browser”. Il a d’ailleurs mis à disposition ces modèles sur GitHub. L’utilisateur, qui pense avoir affaire à une vraie fenêtre popup, est en fait en face d’un faux élément de la page destinée à voler ses informations d’identification. Nom de code : BitB L’attaque en question porte le nom “browser-in-the-browser” (BitB). Selon le Register, elle a vu le jour lorsque mr.d0x, un chercheur en informatique a tenté de falsifier les fenêtres de navigateurs de Google et Microsoft et des sites d’autres fournisseurs de services d’authentification pour demander à l’utilisateur son nom d’utilisateur et son mot de passe pour continuer. Et il s’est avéré qu’avec Chrome, c’est possible. En clair, le piège survient lorsque l’internaute tente de se connecter à un site utilisant des protocoles de sécurité qui proposent une authentification Google, Microsoft, Twitter, Steam, ou Apple via des fenêtres pop-up. Elles surviennent par exemple lorsqu’un internaute clique sur un bouton tel que “S’identifier avec Microsoft”. D’autres services, comme Google Sign-In, affichent une URL Google dans la barre de navigation de la fenêtre popup. Et ce, afin de s’assurer que le service de connexion provient bien d’une société de confiance et non d’une société inconnu. Dans le cadre de cette attaque, l’utilisateur voir alors une supposée fenêtre de navigateur à signature unique (SSO) s’ouvrir. En réalité, il s’agit de la première étape du piratage. Des internautes moins vigilants Désormais monnaie courante lors d’une navigation, les utilisateurs sont moins amenés à vérifier les liens dans la barre d’adresse et les fenêtres pop-up. Ce qui leur permettrait de s’apercevoir qu’ils ne sont pas légitimes. De petits indices indiquent cependant subtilement qu’il s’agit d’un leurre. Par exemple, il se peut que la page ne se charge pas correctement, que les graphismes soient subtilement modifiés ou que l’URL soit erronée. S’armer face à cette nouvelle technique En plus d’être efficace, cette technique risque de rendre le phishing beaucoup trop facile à réaliser. Heureusement, il existe quelques outils qui permettent de contourner cette méthode. Par exemple, l’utilisation de gestionnaires de mots de passe. En effet, ces derniers ne rempliront probablement pas automatiquement les informations d’identification dans une fenêtre BitB. Et ce, car, eux, ne la verront pas comme une véritable fenêtre de navigateur.