Courant mars 2022, est apparue une nouvelle technique de phishing, le browser in the browser ( de navigateur dans le navigateur ), abrégé par BitB. Ce nouveau type d’hameçonnage a été développé par un chercheur en sécurité, mr.d0x. Ce dernier avait la volonté de démontrer que la seule vérification de l’URL ne suffit pas toujours.
BitB : en quoi consiste ce phishing ?
Tout d’abord, l’hameçonnage ou le phishing, est une attaque dans laquelle le hacker induit en erreur l’utilisateur en se faisant passer pour une personne ou un organisme de confiance, afin d’obtenir de celui-ci ses données personnelles ou encore de l’argent.
Plus précisément, la technique du BitB est une illusion informatique. Il est créé une fausse fenêtre de navigation dans le navigateur réel pour obtenir des données personnelles. Le hacker a notamment recréé les fenêtres pop-up d’authentification telles que “se connecter avec Google” ou encore “se connecter avec Facebook”.
Les dangers face à ce nouveau phishing
Cet hameçonnage est visuellement persuasif. En effet, la fausse fenêtre pop-up d’authentification reprend à l’identique le domaine, le logo ou encore l’URL du vrai site.
Il y a donc un grand risque autour de cette attaque, même pour un utilisateur un minimum averti. Beaucoup décrivent cette nouvelle forme de phishing comme impossible à détecter. Les pertes financières ainsi que les vols de données personnelles sont les principales conséquences de cette attaque.
De plus, mr.d0x a publié un article détaillant la méthode pour élaborer un BitB. Il affirme notamment dans un tweet que cette attaque est “très simple mais peut être très efficace”.
Les solutions pour se protéger de ce phishing
Toutefois, affirmer qu’il serait impossible de détecter l’attaque serait faux.
La principale solution est de déterminer si cette page de navigation est vraie ou fausse. Les vraies fenêtres d’authentification sont des fenêtres de navigation. Par conséquent, il est possible de :
- Les déplacer sur ou hors de la page mère.
- Les modifier en les agrandissant ou en les réduisant.
Or, une fenêtre simulée ne peut subir de modification ou de déplacement sur et hors la page mère.
Par ailleurs, il a été recommandé d’utiliser un gestionnaire de mots de passe. La fenêtre de navigation étant factice, le gestionnaire ne va pas reconnaître cette fenêtre d’authentification. Donc, celui-ci ne va pas remplir automatiquement les données d’authentification.
Pour finir, l’utilisateur, dès lors qu’il en a la possibilité, devrait utiliser la multiple authentification. Certes, ces données d’authentification ont été volées par la fausse fenêtre. Toutefois, sans la confirmation reçue par exemple par message, le hacker n’aura pas accès au site final. Par conséquent, il n’a pas accès à toutes les données.
Julie GRACIA
Master 2 Cyberjustice – Promotion 2022/2023
Sources :
- https://www.cnil.fr/fr/cnil-direct/question/le-phishing-cest-quoi
- https://mrd0x.com/browser-in-the-browser-phishing-attack/
- https://www.kaspersky.fr/blog/browser-in-the-browser-attack/18820/
- https://www.mailinblack.com/ressources/blog/browser-in-the-browser
