Un chercheur en sécurité vient de prouver qu'il est possible d'imiter facilement et parfaitement des fenêtres de connexion à des services en ligne. Une technique simple, mais difficile à détecter, qui devrait faire des ravages…

Il va désormais falloir faire très attention quand vous vous connecterez à un compte associé à un service en ligne. Comme l'a révélé Bleeping Computer, un chercheur en sécurité surnommé mr.d0x vient de montrer qu'il est extrêmement simple de créer de fausses fenêtres contextuelles de connexion pour voler des identifiants et des mots de passe d'utilisateurs. Et pour prouver ses dires, cet expert a même publié sur Github des modèles prêts à l'emploi permettant de générer des imitations plus vraies que nature pour Chrome (Windows et macOS) utilisables par des hackers en herbe pour pirater des comptes Google, Microsoft, Facebook, Apple et autres. De quoi faire des millions de victimes, car l'usurpation est particulièrement difficile à détecter, même par des utilisateurs avertis et prudents…

Le méthode mise en œuvre par le fameux mr.d0x ne requiert pas de connaissances techniques très poussées. Reposant sur les langages HTML et JavaScript et les feuilles de style CSS – des outils très courants –, elle permet de créer très facilement des fenêtres de connexion identiques à celles qui s'affichent dans un navigateur Web, quand on veut se connecter à un service en ligne via un compte Google, Facebook ou autre – une proposition très courante sur le Web. Comme on peut le voir sur l'illustration qu'il a publiée dans son article (voir ci-dessous), l'imitation est presque parfaite. Y compris dans les détails : texte, champs, boutons, couleurs, tout est fidèle à l'original. Aucune raison de se méfier à priori.

Mais le pire, c'est que les habituels indices permettant de détecter la supercherie dans les tentatives de phishing sont également maquillés. Ainsi, avec JavaScript, l'URL qui s'affiche furtivement lorsque l'on passe la souris au-dessus d'un bouton ou d'un lien peut parfaitement être remplacée par une adresse légitime sous forme de texte tout en pointant en fait vers une page dangereuse, sur les serveur du hacker. Idem pour le petit cadenas situé devant l'URL principale dans le navigateur, qui signale en principe que la connexion est sécurisée, mais qui est remplacée par un simple image… L'illusion est parfaite, comme on peut le voir dans la petite animation que mr.d0x a mise en ligen à titre d'exemple. 

La démonstration du chercheur a de quoi effrayer. D'autant qu'il fournit des kits d'hameçonnage prêts à l'emploi ! Et le seul moyen de détecter le piège, c'est de surveiller attentivement l'adresse du site Web sur lequel on aboutit avant l'affichage de la fenêtre contextuelle de connexion falsifiée. Adresse douteuse qui doit alerter, car, pour l'heure, elle ne peut correspondre qu'au serveur du pirate. Autant dire que ce genre de détail peut passer complètement inaperçu, surtout on est pressé. Et que cette méthode aussi simple qu'efficace risque de faire de nombreuses victimes dans les prochains temps si personne ne trouve la parade…