Google Chrome 60 veut bloquer le hameçonnage par Data URI

La toute nouvelle version 60 de Chrome, le navigateur Web de Google, fait un pas potentiellement très important pour protéger ses utilisateurs contre certaines tentatives élaborées de hameçonnage. De fait, comme l’explique le géant du Web, cette nouvelle mouture ne supporte plus le chargement de page Web initié par une URL commençant par « data: ». Et il y a une très bonne raison à cela : « les utilisateurs de navigateur non-techniques sont peu familiers de [de ces URL] » et elles sont donc « de plus en plus utilisées dans des attaques d’usurpation d’identité et de phishing ». 

By "real soon now" I mean "when the browser next starts." :) pic.twitter.com/KaeSE230RN

— Eric Lawrence (@ericlaw) July 10, 2017

Dans la pratique, l’adresse commence par « data:text/html ». Et le navigateur affiche en fait une page Web contenue partiellement dans l’URI et chargeant une copie de la page d’authentification de Google dans un cadre iframe. Attentivement, on repèrera d’ailleurs que le navigateur n’indique pas avoir établi une connexion sécurisée avec le serveur. En fait, la fausse page est malveillante et cherche à détourner les identifiants.

La décision de Google apparaît donc saine, bloquant ce type d’attaque. Mais il a peut-être fallu que les utilisateurs de ses services en ligne commencent à être visées largement dans des attaques utilisant cette technique pour qu’il se décide à réagir.

Le calendrier est en effet troublant. Mark Maunder, Pdg de Wordfence, a alerté mi-janvier sur une campagne de phishing visant les utilisateurs des services de Google, notamment : « un attaquant va vous envoyer un e-mail sur votre compte Google. L’e-mail peut venir de quelqu’un que vous connaissez et dont le compte a été ainsi piraté. Il peut aussi inclure quelque chose qui ressemble à l’image d’une pièce jointe » semblant cohérente pour l’émetteur du message. Mais voilà, en cas de clic sur ladite pseudo pièce jointe, « un nouvel onglet s’ouvre et Google vous demande de vous authentifier à nouveau. Vous jetez un œil à la barre d’adresse et vous voyez accounts.google.com ». Et tout paraît normal. Sauf que rien ne l’est.

Fin 2015, les clients de LCL avaient déjà été la cible d’une telle campagne de hameçonnage. Les équipes de la Phishing Initiative avaient même failli s’y laisser tromper. Il leur avait alors fallu quelques heures pour identifier le procédé avant de remonter les URL malveillantes dans les listes de filtrage anti-hameçonnage intégrées par les navigateurs Web, expliquant que les cas de data URI comme celui-ci s’avèrent plus complexes à traiter que les autres cas de phishing.

En mai 2014, une attaque par hameçonnage utilisant cette méthode de maquillage ciblait déjà les détenteurs de comptes Google. Sans donner de chiffres, Bitdefender affirmait alors que l’opération avait permis de piéger bon nombre d’internautes. Mais jusqu’ici, les éditeurs de navigateurs Web s’étaient refusés à bloquer la pratique.