HTML5 : l'API FullScreen, du pain béni pour l'hameçonnage ?
Un expert imagine un type de fishing particulièrement vicieux

Le , par Gordon Fowler, Expert Confirmé Sénior
Un petit coup de JavaScript et c’est hameçonné !

Un chercheur, professeur, web développeur, diplômé de Stanford vient de jeter un pavé dans la mare du HTML5 et de son API FullScreen.

Pour lui, cet API – et la manière dont les navigateurs réagissent au passage au mode plein écran qu’elle permet – serait une aubaine pour les auteurs d'attaques par fishing.

Sa preuve de faisabilité (PoC) est assez simple. Mais vicieuse.

Elle consiste à faire croire à l’utilisateur qu’il clique sur un lien (par exemple https://www.bankofamerica.com), à l’amener sur une autre page et à camoufler tous les signes de ce détournement en exploitant le plein écran.

Dans une attaque de type hameçonnage classique, un signe met la puce à l’oreille : l’URL affichée du site cible (le site malicieux) n’est pas la bonne. Un passage de la souris sur le lien HTML dans la page d’origine affiche cette même URL en bas du navigateur et permet de s’en rendre compte avant de cliquer – si l’on fait attention bien sûr.

Le PoC de Feross Aboukhadijeh est beaucoup plus pervers. Le lien de la page d’origine est le bon (c'est bien https://www.bankofamerica.com qui est affiché). Impossible de déceler qu’en cliquant dessus, ce n’est pas l’URL indiquée que l’on va visiter.

En fait, un simple event.preventDefault() en JavaScript va transformer l’action attachée au fait de cliquer. Au lieu d’ouvrir le lien, l’utilisateur en ouvrira un autre.

Rien de bien nouveau, certes, sauf que la méthode n’est aujourd’hui que peu utilisée. Pour une raison simple : le site cible affiche toujours son URL suspecte.

C’est là qu’entre en scène l’API FullScreen. Avec ce PoC, Feross Aboukhadijeh remplace le site malicieux traditionnel par une page en plein écran découpée en deux.

La première partie affiche le site frauduleux. La deuxième affiche une image qui imite en tout point le navigateur : sa barre URL, son UI avec ses icônes, etc. Le but est de montrer une barre URL avec la bonne adresse. Sauf qu’il ne s’agit pas du navigateur mais d’un simple gif ou jpeg.

Code :
1
2
3
4
5
// Show fake OS and browser UI 
  $('#menu, #browser').show(); 
 
  // Show fake target site 
  $('#target-site').show();
Extrait du code JavaScript qui permet ce tour de passe-passe

En mode normal, on aurait donc deux barres d’adresse l’une au-dessous de l’autre. Une avec l’URL vérolée. L’autre avec une adresse saine, mais sous forme d’image.

Mais comme cette page vicieuse est en plein écran, la vraie barre URL disparaît. Ne reste que l'URL falsifiée.

Seuls quelques détails peuvent alors indiquer que l’on se trouve sur une copie du navigateur (erreurs dans la reproduction des éléments de l’UI du navigateur par exemple).

Des détails que presque personne ne remarquera selon Feross Aboukhadijeh.


Une fausse barre d’adresse et un faux cadre de Chrome en PNG.
Notez l’icône « paramètre » en forme de clef à molette – au lieu des trois traits horizontaux de la version actuelle de Chrome – qui montre l’entourloupe

Le problème souligné par ce PoC est surtout dû à la manière dont les navigateurs gèrent le passage au plein écran.

« Chrome sur OS X lance une animation ennuyeuse d’une seconde, ce qui peut éveiller les soupçons chez les utilisateurs expérimentés », écrit l’expert, « mais la plupart des navigateurs ne font pas bien leur boulot pour indiquer que l’on entre en mode plein écran ». Safari joue par exemple une animation mais n’indique plus rien après. Chrome demande certes une autorisation, mais sans indiquer les enjeux de sécurité. Idem pour Firefox.

Le professeur appelle donc les éditeurs à modifier ce manque d'informations ainsi qu'un autre point : l’usage du clavier en mode plein écran.

L’API FullScreen devait à l’origine désactiver le clavier à l’exception de quelques touches (haut, bas, etc.). L’utilisateur qui souhaitait taper un texte – et donc l’activer – devait se le voir demander et signifier explicitement.

Pour Feross Aboukhadijeh, le problème a été pris dans le mauvais sens. Taper du texte en mode plein écran est une fonctionnalité de base. C’est le mode plein écran dans son ensemble qui devrait entraîner une mise en alerte, pas l’usage du clavier qui devrait exiger une autorisation.

D’autant plus, souligne-t-il, qu’il est devenu possible de taper du texte sur Facebook en plein écran avec Chrome et Firefox sans rencontrer le moindre avertissement.

Bref, du pain béni pour les cyber-criminels qui ne manqueront pas de créer des fausses pages d'identification, avec des adresses sécurisées totalement contrefaites, pour récupérer identifiants, mots de passe et autres informations en tout genre.

Source : Blog de Feross Aboukhadijeh

Et vous ?

Que vous inspire ce PoC : FUD ou alerte légitime ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 12/10/2012 17:21
Citation Envoyé par thelvin  Voir le message
C'est clairement pas suffisant. Une personne qui n'est pas capable techniquement, pense que quand on fait taire une alarme, on a résolu le problème.
Par ailleurs même si l'alarme est encore là, la personne ne sait pas trop à quels seins se vouer. Il y a des alarmes partout de nos jours, qui lui indique celle-ci ? Que veut-elle dire ? Apparemment elle concerne le site qu'elle visitait quand l'alarme est apparue, donc si elle va visiter le site de sa banque, c'est un autre site, le problème ne s'y applique pas, pas vrai ?

Sauf que si la personne n'est pas capable de voir qu'il y a un problème dans ce cas, ne le fera pas non plus avec une popup
Avatar de thelvin thelvin
http://www.developpez.com
Modérateur
le 12/10/2012 23:06
Citation Envoyé par Uther  Voir le message
Sauf que si la personne n'est pas capable de voir qu'il y a un problème dans ce cas, ne le fera pas non plus avec une popup

Encore moins c'est évident, c'est pour ça que j'ai jamais proposé de pop-up. Ce que je dis c'est que le fullscreen ne doit pas marcher si on est pas allé l'activer dans les options du navigateur.
Nous sommes dans un cas où l'existant ne doit pas changer sans que l'utilisateur en ai fait la demande lui-même.

... En tout cas quand on veut que les gens pas techniques soient protégés de ce genre de phishing. Mais bon, tant qu'ils cliqueront sur les liens mis dans les mails pour joindre directement la banque, on pourra toujours arguer que c'est peine perdue.
Avatar de pcaboche pcaboche
http://www.developpez.com
Rédacteur
le 13/10/2012 9:06
Citation Envoyé par thelvin  Voir le message
... la personne ne sait pas trop à quels seins se vouer.

Oui, c'est un problème récurrent chez ceux qui ont plusieurs maîtresses...
Avatar de Squeak Squeak
http://www.developpez.com
Membre actif
le 13/10/2012 10:00
La mode du HTML5/Javascript risque de poser les mêmes problèmes de sécurité qu'il y a quelques années où l'on s'empressait de rendre les sites de plus en plus riches sans se préoccuper de les sécuriser. Après quoi? Le retour des contrôles ActiveX qui s’exécutent de manière totalement transparente peut être? Tout ceci me fait curieusement penser aux problèmes que l'on a déjà rencontré. L'avenir du Web s'annonce particulièrement catastrophique si ça continue!

A un moment, on critiquait vivement les applets Java, contrôles ActiveX, animations Flash et j'en passe car cela représentait des risques en matière de sécurité. Aujourd'hui, force est de constater qu'avec tout l'engouement que le HTML5 suscite, on ne tient plus tout à fait le même discours alors que la situation pourrait être sensiblement la même. A ceci près que là où il fallait exécuter un plugin, maintenant c'est en standard dans le navigateur, de quoi toucher encore plus de monde.

On ne doit pas pouvoir afficher du plein écran comme on veut, c'est tout.
Avatar de davguez davguez
http://www.developpez.com
Invité régulier
le 19/10/2012 12:28
Ca suppose quand même que l'utilisateur n'ai pas de barre de bookmark, de theme, de boutons d'extensions... parce que tout ce éléments, le site en question sera incapable de les reproduire en plain écran, et du coup l'image affiché ne ressemblera pas tant que ça au navigateur habituel de l'utilisateur. S'il a les yeux assez ouverts pour vérifier l'adresse dans la barre d'adresse, il l'aura sans doute pour se rendre compte du changement de physionomie soudaine de son navigateur... Si'il n'a pas les yeux assez ouverts, alors la faille n'apporte rien de plus que les méthodes de hameçonnage existante et décrite dans l'article.
Avatar de thelvin thelvin
http://www.developpez.com
Modérateur
le 19/10/2012 13:38
Citation Envoyé par davguez  Voir le message
S'il a les yeux assez ouverts pour vérifier l'adresse dans la barre d'adresse, il l'aura sans doute pour se rendre compte du changement de physionomie soudaine de son navigateur... Si'il n'a pas les yeux assez ouverts, alors la faille n'apporte rien de plus que les méthodes de hameçonnage existante et décrite dans l'article.

Depuis des années on enseigne aux gens à regarder la barre d'adresse et le petit symbole de cadenas qui dit qu'il y a une sécurité.
Alors s'ils le font pas, alors qu'ils savent que sur Internet il y a n'importe quoi et il y a des méchants, bon ben c'est leur faute.
Mais s'ils le font, mais que maintenant ça suffit plus, il faut aussi faire attention quand "l'écran il est plus comme avant autour de la page, mais là je te parle de quand tu es dans le navigateur, pas quand l'ordinateur a un message à te donner, bon en gros il faut te méfier le site il risque de t'afficher une image qui ressemble à ton navigateur mais qui n'est plus ton navigateur..." Non, bon au bout d'un moment 'faut pas déconner, soit on a une manière accessible de se rendre compte que tout va bien ou mal, soit on n'en a pas. Là on n'en a pas.
Avatar de Pelote2012 Pelote2012
http://www.developpez.com
Membre Expert
le 26/10/2012 9:19
OUI oui ils sont averti, mais 90% de la population ne comprend pas jusqu'où ça peut aller.
Je connais des personnes qui utilise l'ordianteur au travail depuis plus de 10ans. Là tu te dis qu'ils s'y connaissent un peu. Mais non. Il y a 15 jours, il y en a un qui m'appelle, j'ai des pb sur mon ordinateur à la maison ... J'y vais (c'est mon boulot) et là holala. Pas de Maj MS et antivirus depuis 2006.
Oups. Je lui demande pourquoi? Bah au boulot on les informaticiens nous ont dit de ne pas les faire...
Va expliquer que dans certains cas au travail avec des sécurités au nveau du site et dans le fait que certains logiciels spécifiques avec des contraintes de SAV particulière, effectivement, tu ne fais pas de MAJ, mais que sur ton ordi perso... bah quoi, il faut les faire. J'ai gagné un reformatage, car les malwares eux ont appréciés le geste.

Tout cela pour dire, que maintenant la plupart des gens ne sauront même pas qu'ils ont un mode pleine écran (a moins que quelqu'un leur montre)
Mais piéger avec un jpeg ... ça montre à quel point il est facile de pièger les gens. Après, perso, je propose toujours des cours de béabas à mes clients ou les conseille sur les bonnes manières.
Un ordi est un outil puissant. Et comme tout outils puissants, il faut apprendre à s'en servir
Avatar de gta126 gta126
http://www.developpez.com
Membre confirmé
le 08/11/2012 9:11
Bonjour à tous,

Je me permet de réagir à cette discussion car je me demandais est ce que quand le navigateur passe en plein écran le moyen visuel qui marque le plus ne serait tout simplememt pas que la barre des taches soit simplement masquée par le navigateur ?
La même un utilisatwur non avertit remarquera facilement la supercherie.
Avatar de thelvin thelvin
http://www.developpez.com
Modérateur
le 08/11/2012 9:38
Citation Envoyé par gta126  Voir le message
Je me permet de réagir à cette discussion car je me demandais est ce que quand le navigateur passe en plein écran le moyen visuel qui marque le plus ne serait tout simplememt pas que la barre des taches soit simplement masquée par le navigateur ?

Je comprends pas. Explique.
Avatar de gta126 gta126
http://www.developpez.com
Membre confirmé
le 08/11/2012 9:54
Et bien je veux dire par la que par exemple sous windows en bas de l'ecran(par défaut) la barre où il y a l'heure etc si l'on met le navigateur en plein écran cette même barre serra cachée et donc facilement remarquable par un utilisateur
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 08/11/2012 10:38
C'est justement le cas actuellement et c'est la source du problème.

Quand on passe en plein écran tout est masqué, y compris la barre de tache et la barre d'adresse. Et le site frauduleux en profite pour en dessiner des fausses à la place.
Offres d'emploi IT
PMO (H/F)
CDI
Proxiad - Ile de France - BOULOGNE BILLANCOURT (92100)
Parue le 30/10/2014
INGÉNIEUR DÉVELOPPEMENT JAVA/JEE
[Autre]
UBIFRANCE - Tunisie - TUNIS
Parue le 19/11/2014
ANALYSTE PROGRAMMEUR JAVA J2EE (H/F)
CDI
ABASE - Suisse - Strasbourg
Parue le 28/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula