Data URI : alerte à ce mode de phishing sophistiqué

Mark Maunder, Pdg de Wordfence, alerte sur une campagne de phishing en cours visant les utilisateurs des services de Google, notamment : « un attaquant va vous envoyer un e-mail sur votre compte Google. L’e-mail peut venir de quelqu’un que vous connaissez et dont le compte a été ainsi piraté. Il peut aussi inclure quelque chose qui ressemble à l’image d’une pièce jointe » semblant cohérente pour l’émetteur du message. Mais voilà, en cas de clic sur ladite pseudo pièce jointe, « un nouvel onglet s’ouvre et Google vous demande de vous authentifier à nouveau. Vous jetez un œil à la barre d’adresse et vous voyez accounts.google.com ». Et tout paraît normal. Sauf que rien ne l’est.

L’adresse commence en fait par « data:text/html ». Et le navigateur affiche en fait une page Web contenue partiellement dans l’URI et chargeant une copie de la page d’authentification de Google dans un cadre iframe. Attentivement, on repèrera d’ailleurs que le navigateur n’indique pas avoir établi une connexion sécurisée avec le serveur. En fait, la fausse page est malveillante et cherche à détourner les identifiants.

Fin 2015, les clients de LCL avaient été la cible d’une telle campagne de hameçonnage. Les équipes de la Phishing Initiative, un service opéré par le très sérieux cabinet Lexsi, ont même failli s’y laisser tromper. Il leur avait alors fallu quelques heures pour identifier le procédé avant de remonter les URL malveillantes dans les listes de filtrage anti-hameçonnage intégrées par les navigateurs Web, expliquant que les cas de data URI comme celui-ci s’avèrent plus complexes à traiter que les autres cas de phishing.

En mai 2014, une attaque par hameçonnage utilisant cette méthode de maquillage ciblait déjà les détenteurs de comptes Google. Sans donner de chiffres, Bitdefender affirmait alors que l’opération avait permis de piéger bon nombre d’internautes.

Le sujet fait l’objet de débats récurrents, mais pour l’heure, Safari, Google Chrome ou encore Firefox acceptent les redirections vers des data URI. Car il est possible de bloquer le lien de redirection initial, puisqu’il est hébergé en ligne, et il est possible également de bloquer la page appelée par le cadre iframe. Mais lorsque la redirection initiale n’est pas hébergée, il n’y a aucun moyen de fermer ou de retirer l’URI en question. Dès lors, la seule solution immédiate à ce jour reste la vigilance.