Niveau de compréhension : Internouille
Niveau d'importance: Soyez attentif

 

Le Buzz de l'heure, le 'Tabnapping'

Cette semaine, tambours et trompettes ont été utilisés initialement par Computer World et cie. Lorsque Aza Raskin, ingénieur chez Firefox, a présenté une preuve de concept sur une nouvelle méthode d'hameçonnage, appeler 'Tabnapping' (aucune traduction francophone, encore).

Les différentes méthodes d'hameçonnage, comme le harponnage, font partie de la même famille d'arnaque. Même si le harponnage est plus ciblé, il en demeure pas moins que c'est de l'hameçonnage ou du 'phishing' ; idem pour le tabnapping.

On dit que l'industrie du sexe est le plus vieux métier du monde. Et bien, je crois que la première prostituée devait être la victime d'un arnaqueur. Bref, l'arnaque n'est pas d'hier. Depuis toujours, de nouvelles méthodes sont pensées afin de vous soutirer quelque chose; de l'argent ou de l'information.

Le 'phishing' utilise très rarement des exploits ou des bugs. Il se concentre plutôt sur des fonctionnalités existantes, la naïveté des victimes et leur inattention. Cette fois-ci ne fait pas exception, car la méthode utilise la possibilité de naviguer sur plusieurs fenêtres.

Explication du processus

Voici le topo, vous débutez votre journée, démarrer votre navigateur (Firefox idéalement), puis ouvrez vos pages préférées dans plusieurs onglets. Vous pouvez avoir GMail, Facebook, Twitter et disons, Cyberjungle, tous ouverts en même temps dans plusieurs onglets. Jusque là, c'est bon.

Vous visitez un site avec un code malicieux qui vous incite à cliquer sur un lien contenant un code caché. Le code, en javascript, vérifie les pages sur lesquelles vous êtes branché, remarque que vous êtes branché sur GMail. Il modifie la page de l'onglet GMail pour la rediriger sur une page qui ressemble en tout point à GMail. Tout cela pendant que vous êtes sur un autre onglet.

Lorsque vous retournez sur l'onglet en question, vous croyez avoir été déconnecté de GMail et vous rentrez de nouveau vos informations d'authentification. Le site malicieux vous redirige vers le vrai GMail. Il va même soumettre pour vous votre utilisateur et votre mot de passe, tout en gardant précieusement ces informations. Vous n'avez jamais remarqué que vous vous êtes fait avoir. Évidemment, ce n'est pas seulement GMail qui peut être affecté, tous les sites peuvent être potentiellement imités. De plus, tous les navigateurs (IE, Firefox, Chrome), sur toutes les plates-formes (Windows, MacOs, Linux), peuvent être affectés.

On ne peut pas classifier cette méthode d'exploit ou de bug, puisque qu'elle utilise des fonctionnalités existantes et nécessaires. En effet, les onglets doivent avoir la possibilité de se mettre à jour même si vous n'êtes pas activement sur l'onglet en question. L'onglet doit être capable de vérifier si vous avez de nouveaux courriels et de les afficher, par exemple.

Autre chose qui devrait me ravir, mais pour une raison que j'ignore encore, ne me séduit pas. Avant de partir en peur, pour que cette arnaque fonctionne, les conditions doivent être idéales. Plusieurs articles ont été écrits à ce sujet et décrivent le 'tabnapping' comme la fin du monde en 2012.

Ceci devrait donc me ravir puisqu'il indique que la sécurité devient un sujet populaire. Le cirque médiatique pourrait tourner l'histoire en chasse aux sorcières.

Mon conseil

Soyez vigilant, votre conscience est souvent une excellente alarme. Si vous croyez que quelque chose ne tourne pas rond, bizarre ou sort de l'ordinaire, prenez deux minutes pour enquêter et surtout posez des questions.

 

Vous avez des questions, commentaires ou suggestions, envoyez-les moi.

Martin Gill

Ressources

Computer World :
http://www.computerworld.com/s/article/9177326/Sneaky_browser_tabnapping_phishing_tactic_surfaces

Video :
http://vimeo.com/12003099

Résultat de recherche sur Google :
http://www.google.ca/search?q=tabnapping+computer+world&hl=en&safe=off&rlz=1G1GGLQ_FRCA267&prmd=n&source=lnms&tbs=nws:1&ei=Z2_-S5jVAoKclgfok_zmCQ&sa=X&oi=mode_link&ct=mode&ved=0CAwQ_AU