tabnapping : phishing par kidnapping d'onglets de navigation

Partager

Avec l'aide des onglets, il est possible de surfer simultanément sur plusieurs sites à la fois. Cette fonctionnalité est devenue un standard dans les règles d'ergonomies de tous les grands navigateurs Internet.

Les surfers les plus "frénétiques" peuvent utiliser près de 10 voire même 20 ou 30 de ces onglets d'ouverts en même temps : le passage d'un onglet est facilité via de pratiques raccourcis claviers et l'utilisation des icônes de sites (vous savez les "favicons") permet de retrouver en un clin d'œil ses "onglets préférés" (cf la très fameuse boîte aux lettres GMail par exemple).

Le coté pratique de cette navigation par onglets, associé au sentiment que rien ne change dans un onglet lorsqu'on en consulte d'autres pourrait être la cible préférée d'attaques en phishing particulièrement redoutables.

En effet, il a été montré qu'il était possible de modifier, a l'insu de l'utilisateur et sans aucune intervention de sa part, le contenu affiché dans un onglet.

Il est important de noter que cette attaque concerne tous les navigateurs et pas seulement IE ou Firefox : Safari serait aussi concerné.

Lorsque vous revenez sur un onglet, celui-ci affiche tout autre chose que le site où vous étiez restés. En lieu est place vous retrouverez (par exemple) la page d'accueil de Gmail ou de votre site bancaire... et comme nous avons le sentiment que rien ne change dans un onglet et donc que c'est vous qui l'avez ouvert, vous allez saisir vos identifiants de connexion.

... et hop, c'est fini : vos identifiants de connexion viennent d'être détournés et communiqués à un tiers. Rapide, simple et diablement redoutable.

testez l'attaque en "live"

Pour ceux qui se disent "faisons un test", je vous invite à consulter une page de démonstration mise en place par le chercheur en sécurité Aviv Raff. Une fois celle-ci affichée, allez faire un tour sur l'onglet d'à coté pendant quelques secondes : ladite page va être détournée vers une page d'erreur (mais avec un logo Gmail en favicon), affichez le code source de la page : vous verrez que l'unique image inclue dans la page est cassée (Il s'agissait d'un screenshot de la page d'accueil de Gmail).

Pour ce qui ne sentent pas de faire cet exercise "en live", je vous invite à regarder la video de démonstration d'Aza Raskin (Vimeo, A New Type Of Phishing Attack). La lecture de son article "Tabnabbing: A New Type Of Phishing Attack" sur son blog est elle aussi instructive, le code source Javascript est d'ailleurs disponible en téléchargement pour ceux que cela intéresse.

à nouvelle technique d'attaque, nouveau nom

Le nom de cette nouvelle attaque serait "tabnapping" (contraction de "tab" et de Kidnapping") mais on retrouve aussi "tabnabbing".

Selon Aviv Raff, un autre chercheur en sécurité, cette "magie" serait possible même si le Javascript a été désactivé via reparamétrage du navigateur ou via NoScript pour ceux qui sont sous Firefox. Consultez l'article sur KrebsonSecurity.

Le seul "défaut" de cette attaque qui pourrait mettre la puce à l'oreille de l'utilisateur : l'URL de l'onglet "kidnappé" ne change pas, elle reste identique à celle consultée au départ. Il faut donc rester attentif !

quelques recommandations pour se protéger

  1. arrêtez d'utiliser les onglets de navigation (non, je plaisante !)
  2. avant de rentrer vos identifiants de connexion, vérifiez l'exactitude de l'URL
  3. fermez systématiquement les onglets contenant des fenêtres de login, puis ré-ouvrez la page depuis un lien enregistré ou ressaisissez l'URL
  4. utilisez un bon système de filtrage de sites malicieux (cf cet article pour plus d'infos)

Pour plus d'informations sur ce nouveau vecteur d'attaque, quelques liens :

J'oubliai le plus important : pour que cette attaque fonctionne, il est nécessaire que la page initialement ouverte dans l'onglet soit "malicieuse" (c'est-à-dire qu'elle contienne le code Javascript de "kidnapping").

Il n'est pas possible pour qu'un script s'exécutant dans un onglet change le contenu d'un autre onglet. C'est plutôt rassurant...
En conséquence, cela veut dire que les systèmes de filtrage d'URL intégrant des listes de réputations bloquant l'accès à des sites connus comme étant malicieux (diffusant des exploits, virus ou sites de phishing) sont un rempart (partiel) contre ce type d'attaque.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)