Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Tabnapping : phishing par kidnapping d'onglets de navigation

Tabnapping : phishing par kidnapping d'onglets de navigation
2010-05-272013-02-11sécurité organisationnelle et humainefr
Une nouvelle technique d'attaque baptisée "Tabnapping" (contraction de "tab" et de "kidnapping") permet de changer le contenu d'un onglet de navigation, le tout à l'insu de l'utilisateur. Tous les navigateurs Internet sont concernés. Est-ce le début d'une nouvelle génération d'attaques en...
Publié le 27 Mai 2010 par Jean-François Audenard dans sécurité organisationnelle et humaine

Avec l'aide des onglets, il est possible de surfer simultanément sur plusieurs sites à la fois. Cette fonctionnalité est devenue un standard dans les règles d'ergonomies de tous les grands navigateurs Internet.

Les surfers les plus "frénétiques" peuvent utiliser près de 10 voire même 20 ou 30 de ces onglets d'ouverts en même temps : le passage d'un onglet est facilité via de pratiques raccourcis claviers et l'utilisation des icônes de sites (vous savez les "favicons") permet de retrouver en un clin d'œil ses "onglets préférés" (cf la très fameuse boîte aux lettres GMail par exemple).

Le coté pratique de cette navigation par onglets, associé au sentiment que rien ne change dans un onglet lorsqu'on en consulte d'autres pourrait être la cible préférée d'attaques en phishing particulièrement redoutables.

En effet, il a été montré qu'il était possible de modifier, a l'insu de l'utilisateur et sans aucune intervention de sa part, le contenu affiché dans un onglet.

Il est important de noter que cette attaque concerne tous les navigateurs et pas seulement IE ou Firefox : Safari serait aussi concerné.

Lorsque vous revenez sur un onglet, celui-ci affiche tout autre chose que le site où vous étiez restés. En lieu est place vous retrouverez (par exemple) la page d'accueil de Gmail ou de votre site bancaire... et comme nous avons le sentiment que rien ne change dans un onglet et donc que c'est vous qui l'avez ouvert, vous allez saisir vos identifiants de connexion.

... et hop, c'est fini : vos identifiants de connexion viennent d'être détournés et communiqués à un tiers. Rapide, simple et diablement redoutable.

testez l'attaque en "live"

Pour ceux qui se disent "faisons un test", je vous invite à consulter une page de démonstration mise en place par le chercheur en sécurité Aviv Raff. Une fois celle-ci affichée, allez faire un tour sur l'onglet d'à coté pendant quelques secondes : ladite page va être détournée vers une page d'erreur (mais avec un logo Gmail en favicon), affichez le code source de la page : vous verrez que l'unique image inclue dans la page est cassée (Il s'agissait d'un screenshot de la page d'accueil de Gmail).

Pour ce qui ne sentent pas de faire cet exercise "en live", je vous invite à regarder la video de démonstration d'Aza Raskin (Vimeo, A New Type Of Phishing Attack). La lecture de son article "Tabnabbing: A New Type Of Phishing Attack" sur son blog est elle aussi instructive, le code source Javascript est d'ailleurs disponible en téléchargement pour ceux que cela intéresse.

à nouvelle technique d'attaque, nouveau nom

Le nom de cette nouvelle attaque serait "tabnapping" (contraction de "tab" et de Kidnapping") mais on retrouve aussi "tabnabbing".

Selon Aviv Raff, un autre chercheur en sécurité, cette "magie" serait possible même si le Javascript a été désactivé via reparamétrage du navigateur ou via NoScript pour ceux qui sont sous Firefox. Consultez l'article sur KrebsonSecurity.

Le seul "défaut" de cette attaque qui pourrait mettre la puce à l'oreille de l'utilisateur : l'URL de l'onglet "kidnappé" ne change pas, elle reste identique à celle consultée au départ. Il faut donc rester attentif !

quelques recommandations pour se protéger

  1. arrêtez d'utiliser les onglets de navigation (non, je plaisante !)
  2. avant de rentrer vos identifiants de connexion, vérifiez l'exactitude de l'URL
  3. fermez systématiquement les onglets contenant des fenêtres de login, puis ré-ouvrez la page depuis un lien enregistré ou ressaisissez l'URL
  4. utilisez un bon système de filtrage de sites malicieux (cf cet article pour plus d'infos)

Pour plus d'informations sur ce nouveau vecteur d'attaque, quelques liens :

J'oubliai le plus important : pour que cette attaque fonctionne, il est nécessaire que la page initialement ouverte dans l'onglet soit "malicieuse" (c'est-à-dire qu'elle contienne le code Javascript de "kidnapping").

Il n'est pas possible pour qu'un script s'exécutant dans un onglet change le contenu d'un autre onglet. C'est plutôt rassurant...
En conséquence, cela veut dire que les systèmes de filtrage d'URL intégrant des listes de réputations bloquant l'accès à des sites connus comme étant malicieux (diffusant des exploits, virus ou sites de phishing) sont un rempart (partiel) contre ce type d'attaque.

2 Commentaires

  • 28 Mai 2010
    2010-05-28
    par
    Salut Florent ! Ca faisait un bail que nous ne t'avions vu mettre un petit commentaire bien vicieux comme celui-ci. ;-)
    Amicalement,
    JF
  • 28 Mai 2010
    2010-05-28
    par
    Florent
    Le truc sympa c'est de mettre ce script de kidnapping en page de démarrage de la personne quand il ne verrouille pas son ordinateur au travail :)

    http://ha.ckers.org/blog/20100126/quicky-firefox-bookmarklet-backdoor/

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage