Commentaires : BitB : nouvelle technique de phishing pour récupérer votre mot de passe

Un chercheur a mis au point une technique qui permet de créer des formulaires de connexion pirates qui deviennent très difficiles à détecter.

Magnifiquement machiavélique et bien pensé !

OK, mais le lien principal de phishing, c’est bien celui du mail, et ce dernier est toujours facilement affichable. LA BASE de l’utilisation d’internet devrait commencer par l’apprentissage de ce genre de détections qui sont pour 98% des cas (chiffre évalué par moi même) très facile à identifier comme faux.
Moi je m’en fout, mon métier est de réparer les OS et les PC donc ça me fait manger. Mais en tant que passionné, je trouve ça tellement navrant de se faire avoir par ce genre de connerie. C’est comme le piège au faux support technique… ça m’a rapporté beaucoup alors que j’explique à chaque client victime comment reconnaître une connerie d’un vrai soucis.

Les gens qui sont attirés (passionnés, ayant des affinités, etc.) par l’informatique seront certainement au courant via les médias (dont Clubic) et feront attention.

Par contre les autres, je pense qu’ils s’en phishent (désolé, pas pu me retenir ^^). Ils vont sur des sites (ou achètent des journaux) et lisent les informations qui correspondent à leurs centres d’intérêt. Ceux-là, il faudrait mieux les encadrer car ils ne feront probablement pas la démarche de leur propre chef.

Si les véritables fenêtres OAuth peuvent par exemple être redimensionnées ou déplacées sur votre écran, puisque considérées comme une instance distincte du navigateur et de sa page principale, ce n’est pas le cas des fenêtres BitB, qu’il est impossible de redimensionner

Pour l’instant… Rien n’empêche la version 2 qui rajoute, avec un peu de JS, le redimensionnement et le resize. De toute façon, qui resize ou déplace ces fenêtres ?

La seule alternative, c’est d’avoir un theme qui ne soit pas celui par défaut. Impossible pour le pêcheur de savoir quel thème vous utilisez. Donc les fenêtres ne seront pas légitimes.

Je comprends la recherche mais par contre publier ca en Open Source je trouve ca très très moyen.

« Le chercheur a publié, sur la plateforme GitHub, un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB depuis le navigateur de la firme de Mountain View, Google Chrome. »

Le terme « chercheur » me gêne puisque, apparemment, il ne s’agit que d’un escroc comme un autre. A moins que je ne me trompe…

Non, pas forcément. Un phishing ne commence pas forcément par un mail. Le point de départ peut par exemple être un site parfaitement légitime, qui utilise Facebook pour sa gestion de commentaires, et qui a été piraté… Le pirate modifie le site pour injecter sa fausse fenêtre de connexion à Facebook, et hop, il ramasse les comptes de ceux qui veulent se connecter au site… Ça peut même se faire sans vraiment pirater le site, avec un malware (par exemple, une extension de navigateur qui va automatiquement détecter les boutons de connexion Facebook et injecter ce faux formulaire).

Il y a des comportements des vrais fenêtres qui ne sont pas simulables, par exemple le fait de faire sortir la fenêtre de l’espace de la fenêtre parente, de la passer par-dessus ou par-dessous une autre fenêtre, ou encore l’icône de la fenêtre dans la barre des tâches ou le menu Alt-Tab. Cela dit, je me demande s’il n’y a pas moyen dans certaines conditions de faire une vraie fenêtre popup sans barre d’adresse… Et donc d’y mettre la fausse barre qui passerait pour la vraie…

Oui, tu te trompes. Un escroc comme un autre, il ne rendrait pas ça publique, il l’exploiterait dans son coin, à son profit, aussi longtemps que possible.

Là en le rendant public, il informe le public sur le risque et des moyens de le réduire (vérifier qu’il s’agit d’une vraie fenêtre, gestionnaire de mots de passe, etc…), et il partage également ça avec ceux qui peuvent éventuellement travailler sur des contre-mesures intégrées au sein des navigateurs et/ou des logiciels de sécurité. C’est donc bien un travail de recherche, dans le but d’améliorer la sécurité.

La double authentification devrait alors être un impératif obligatoire (au moins sur les sites et applicatifs SSO).

Alors je reste sans voix… Je pensais que la phrase « un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB… » était compréhensible par le quidam du coin mais il semble que non.

Chers « clubiciens » demain je mets en ligne la combinaison du coffre de mon voisin. Je suis un chercheur et j’ai trouvé cette combinaison en cherchant alors j’en fais profiter le public afin qu’il se prémunisse des fois que certains aient le même coffre et la même combinaison… Si vous souhaitez l’adresse dudit voisin, demandez à jesuisunchercheur@unvrai.com… (prononcer on).

Faut surtout pas prendre la formulation d’un journaliste pour argent comptant hein… Va voir ce qu’il y a dans son repo GitHub. Tu verras que c’est loin d’être complet, et surtout, loin d’être « facile ». La partie qui est fournie est extrêmement superficielle et ne permet AUCUNE attaque en l’état.

Il y a juste quelques templates de page incluant une fausse fenêtre popup VIDE, ne reproduisant PAS les formulaires de connexion (donc si on veut faire une attaque, faut se taper le boulot de reproduire le style des formulaires existants). Et il n’y a pas non plus le code côté serveur pour récupérer ce qui est saisi dans les formulaires (forcément, puisqu’il n’y a même pas les formulaires…).

En gros, quelqu’un qui sait coder, à partir de l’explication qui est donnée dans l’article de Clubic, si il veut faire une attaque basée sur cette idée, il gagne 1h grâce à ces templates, tout au plus. Celui qui sait pas coder, il aura beau avoir ces templates, il pourra rien en faire.

En exagérant à peine, c’est comme si je publiais un scan 3D de l’extérieur de ma voiture en disant « ces données permettent à chacune de fabriquer assez facilement sa propre voiture »…

C’est à dire sélectionner le code de l’iframe dans l’inspecteur HTML, faire Ctrl + C, ouvrir un éditeur de texte, et faire Ctrl + V. Puis faire la même chose avec la fenêtre « Style » (et là pas besoin d’être précis, un Ctrl + A suivi d’un Ctrl + C et c’est plié).
Ah, j’oubliais, il faut aussi récupérer le logo 3D secure (bouton droit sur l’image, « Sauvegarder sous ») et, comble d’expertise celui de la banque. Bref, c’est horriblement long comme boulot…

Par contre proposer un script qui imite le design du navigateur en cours (par détection de l’OS, du browser, du thème clair/foncé, etc…) là c’est clairement du boulot.

Ben non, même ça il ne le fournit pas. Il fournit les templates pour Chrome sur Mac et Windows 10 avec ou sans dark mode. Mais il ne fournit ni le script pour instancier automatiquement le bon template, ni les templates pour d’autres navigateurs et d’autres OS. Et pour Windows 10, c’est uniquement avec le jeu de couleurs de base de l’OS, jeu de couleurs qui est bien souvent différent en pratique, puisque par défaut Windows 10 change automatiquement le jeu de couleurs en fonction du fond d’écran…

Vraiment, ce qu’il fournit, c’est 1h de boulot pour un mec qui connait bien HTML, CSS et JS.

Et un mec qui arrive à reproduire sans bug les formulaires de connexion, il doit de toute façon connaitre ces langages. Un simple copier coller depuis l’inspecteur à toutes les chances de donner un truc buggé (et qui enverra pas les données de formulaire là où tu veux)…

J’ai fait le test avec celui de Google, j’obtiens quelques défaut de style (qui peuvent éventuellement passer inaperçu), mais surtout un bouton « Suivant » totalement inopérant… Faire les modifications pour rendre ça utilisable, donc avec un bouton qui marche ET qui envoie les données vers la bonne adresse, et pas vers celle de Google, ça nécessite un minimum de compétence en HTML/CSS/JS. Compétences avec lesquelles faire une fenêtre imitant une fenêtre de navigateur, c’est pas bien compliqué hein, les interfaces des navigateurs ne sont pas d’une grande complexité…

Et d’ailleurs, pour Google par exemple, même celui qui arrive à reproduire de façon fonctionnelle le premier écran de connexion (celui où on saisit l’adresse), il va avoir beaucoup plus de mal à reproduire le second, celui où on saisit le mot de passe : au-dessus du champ de saisi de mot de passe, ce second écran affiche les noms, prénoms et avatars associés au compte Google saisi à la première étape…

Bref, je persiste, non, ce GitHub ne fournit rien qui permette à tout un chacun d’exploiter cette faille facilement, il fait gagner un tout petit peu de temps, mais le plus gros du taf reste à faire. Et encore, je ne parle que du taf technique de base, le minimum vital pour avoir quelque chose d’à peu près fonctionnel… Parce qu’après faut aussi faire un faux site qui justifie que l’utilisateur essaye de s’y connecter avec son compte Google/Microsoft/Autre (donc faire une copie d’un site existant et utilisant ce système d’authentification), puis réussir à amener les gens sur ce site et à les pousser à se connecter…

moyen ou mauvais?

Je comprends pas trop tes explications. J’avoue j’ai pas pris le temps d’aller voir le GitHub. Ce que je comprends c’est que le gars a mis toute la base et qu’il ne reste plus qu’à cabler (vers le serveur idoine) et faire en sorte qu’un bouton fasse une action. Si c’est le cas, y a plus grand chose à faire non plus et n’importe quel dev amateur est capable de le faire. Si j’ai mal compris j’en suis désolé.

Non, il ne reste pas juste à câbler vers le serveur idoine. Le serveur idoine, il n’existe pas, il faut le faire.

Ce qu’il fournit, c’est juste le template pour faire une fenêtre dans le navigateur :

853×801 17.3 KB

Vraiment, c’est 1h de boulot pour quelqu’un qui connait bien HTML/CSS/JS.

Ce qu’il reste à faire :

• implémenter en HTML/CSS/JS un faux formulaire de login identique à celui de Google/Microsoft/etc…,
• implémenter côté serveur le code pour récupérer les données saisies,
• créer un faux site reproduisant un site utilisant Google/Microsoft/etc… pour sa gestion de compte,
• intégrer les templates à ce faux site, en ajoutant le code nécessaire pour instancier le bon template en fonction de l’OS, du navigateur et de l’activation ou non du mode nuit… Sachant que les templates fournis ne sont QUE pour Chrome et seulement pour macOS et Windows 10… Et encore, comme je l’ai dit plus haut, sous Windows 10 il y a peu de chances qu’ils collent réellement avec le jeu de couleur utilisé (et à priori, aucun moyen de le faire coller…)
• piéger des utilisateur du site pour les faire aller à leur insu sur le faux (donc avoir une bonne URL qui fasse illusion notamment…),
• et espérer qu’ils veuillent se connecter.

Bref, y a 1h de travail fournie et des heures de travail de reste à faire…

L’étape de création d’un faux site et piégeage des utilisateurs pour les faire aller dessus à la place du vrai peut éventuellement être remplacée par une étape piratage du vrai site pour intégrer directement le piège dessus ou diffusion d’une extension de navigateur vérolée qui va automatiquement intégrer le faux formulaire à la place du vrai sur tous les sites l’utilisant. Mais c’est pas spécialement plus facile…

Ou sinon on peut aussi créer un faux site qui ne soit pas une copie d’un vrai, mais va falloir y mettre du contenu qui incite les gens à s’y identifier, les gens vont pas s’identifier spontanément sur le premier site venu…

Vous seriez surpris de connaitre la quantité d’idiots qui croient fermement qu’en ayant une imprimante 2D qu’on peut reproduire n’importe quoi et il sera fonctionnel tel un moteur de voiture ou un organe humain. Ils ne réalisent pas la différence entre avoir une image réussie et avoir le vrai objet fonctionnel.