Le in-session Phishing une nouvelle technique de subtilisation des données bancaires

Par Xavier Poli, secuobs.com
Le 19/01/2009

---

Résumé : La société Trusteer vient de réveler, dans son dernier rapport, l'existence d'une nouvelle technique de Phishing visant à améliorer les conditions de subtilisation des informations d'authentification relatives aux services bancaires en ligne. - Lire l'article



Un groupe de chercheurs en sécurité vient de révéler l’existence d’une nouvelle technique de Phishing ( lien ) qui facilite le vol des informations de connexion aux services bancaires en ligne. Elle repose initialement sur le fait qu’un utilisateur reste connecté à un tel service tout en continuant à naviguer sur d’autres sites Internet via des instances parallèles de son navigateur.

Cette technique, aujourd'hui connue sous la dénomination de « in-session phishing », serait apparemment très efficace à l’encontre de l’ensemble des navigateurs Web qui sont actuellement utilisés par les internautes pour gérer leurs comptes bancaires en ligne. Selon ces chercheurs, les navigateurs Microsoft Internet Explorer, Mozilla Firefox, Apple Safari et Google Chrome sont tous concernés par cette vulnérabilité fâcheuse.

Trusteer ( lien ), spécialiste des solutions de sécurité pour les services bancaires en ligne, vient donc par l’intermédiaire de Amit Klein, responsable technique et spécialiste dans ce domaine, de révéler que c'est plus précisément à cause d'une fonction Javascript spécifique que cette exploitation est rendue possible. Le nom de la fonction incriminée n'a néanmoins pas été mentionné dans le rapport ( lien ).

Une page spécialement forgée peut ainsi être en mesure de détecter, selon une liste prédéfinie, les connexions en cours d’un utilisateur vers des service bancaires en ligne. Il est alors possible de réaliser une attaque plus classique de Phishing en proposant un pop-up malicieux qui usurpe la présentation du service original tout en demandant à l’utilisateur de s’identifier à nouveau pour éviter l’expiration de sa session.

Il ne reste plus à l’attaquant qu’à récupérer ces informations sensibles et à se connecter sur ce même service afin d’accéder à l'ensemble des comptes de la victime avec toutes les conséquences que l’on peut aisément imaginer. Cet exemple spécifique peut bien évidemment être transposé à d’autres types de services en ligne et notamment ceux qui sont issus des institutions boursières et des services de l’administration.

Des déclinaisons à venir sont également fortement envisageables vis-à-vis de tous les types de services qui imposent un système d’authentification, les webmails (Hotmail, Gmail, etc), les sites d’enchères (Ebay, Ricardo, etc) et les casinos en ligne, cette liste n’étant pas exhaustive. La vulnérabilité aurait cependant été récemment reportée auprès des responsables des différents navigateurs concernés afin que des correctifs puissent être diffusés au plus vite.

Dans tous les cas, il reste préférable de privilégier le blocage des pop-up et de ne pas effectuer de navigations parallèles lors des connexions à un service sensible. Ce conseil peut par ailleurs s’appliquer aux autres types de vecteurs que toutes les applications et extensions exécutées localement peuvent représenter ( lien ). Une bonne politique de prévoyance implique également de vider systématiquement le cache et la partie spécifique de l'historique du navigateur après l'utilisation de tels services.

Source : ArsTechnica Security Content ( lien )