Discussion :

[Gordon Fowler]

L’API FullScreen, du pain béni pour l’hameçonnage ?
Un expert imagine un nouveau fishing particulièrement vicieux


Un petit coup de JavaScript et c’est hameçonné !

Un chercheur, professeur, web développeur, diplômé de Stanford vient de jeter un pavé dans la mare du HTML5 et de son API FullScreen.

Pour lui, cet API – et la manière dont les navigateurs réagissent au passage au mode plein écran qu’elle permet – serait une aubaine pour les auteurs d'attaques par fishing.

Sa preuve de faisabilité (PoC) est assez simple. Mais vicieuse.

Elle consiste à faire croire à l’utilisateur qu’il clique sur un lien (par exemple https://www.bankofamerica.com), à l’amener sur une autre page et à camoufler tous les signes de ce détournement en exploitant le plein écran.

Dans une attaque de type hameçonnage classique, un signe met la puce à l’oreille : l’URL affichée du site cible (le site malicieux) n’est pas la bonne. Un passage de la souris sur le lien HTML dans la page d’origine affiche cette même URL en bas du navigateur et permet de s’en rendre compte avant de cliquer – si l’on fait attention bien sûr.

Le PoC de Feross Aboukhadijeh est beaucoup plus pervers. Le lien de la page d’origine est le bon (c'est bien https://www.bankofamerica.com qui est affiché). Impossible de déceler qu’en cliquant dessus, ce n’est pas l’URL indiquée que l’on va visiter.

En fait, un simple event.preventDefault() en JavaScript va transformer l’action attachée au fait de cliquer. Au lieu d’ouvrir le lien, l’utilisateur en ouvrira un autre.

Rien de bien nouveau, certes, sauf que la méthode n’est aujourd’hui que peu utilisée. Pour une raison simple : le site cible affiche toujours son URL suspecte.

C’est là qu’entre en scène l’API FullScreen. Avec ce PoC, Feross Aboukhadijeh remplace le site malicieux traditionnel par une page en plein écran découpée en deux.

La première partie affiche le site frauduleux. La deuxième affiche une image qui imite en tout point le navigateur : sa barre URL, son UI avec ses icônes, etc. Le but est de montrer une barre URL avec la bonne adresse. Sauf qu’il ne s’agit pas du navigateur mais d’un simple gif ou jpeg.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
// Show fake OS and browser UI
  $('#menu, #browser').show();
 
  // Show fake target site
  $('#target-site').show();

Extrait du code JavaScript qui permet ce tour de passe-passe

En mode normal, on aurait donc deux barres d’adresse l’une au-dessous de l’autre. Une avec l’URL vérolée. L’autre avec une adresse saine, mais sous forme d’image.

Mais comme cette page vicieuse est en plein écran, la vraie barre URL disparaît. Ne reste que l'URL falsifiée.

Seuls quelques détails peuvent alors indiquer que l’on se trouve sur une copie du navigateur (erreurs dans la reproduction des éléments de l’UI du navigateur par exemple).

Des détails que presque personne ne remarquera selon Feross Aboukhadijeh.

Une fausse barre d’adresse et un faux cadre de Chrome en PNG.
Notez l’icône « paramètre » en forme de clef à molette – au lieu des trois traits horizontaux de la version actuelle de Chrome – qui montre l’entourloupe

Le problème souligné par ce PoC est surtout dû à la manière dont les navigateurs gèrent le passage au plein écran.

« Chrome sur OS X lance une animation ennuyeuse d’une seconde, ce qui peut éveiller les soupçons chez les utilisateurs expérimentés », écrit l’expert, « mais la plupart des navigateurs ne font pas bien leur boulot pour indiquer que l’on entre en mode plein écran ». Safari joue par exemple une animation mais n’indique plus rien après. Chrome demande certes une autorisation, mais sans indiquer les enjeux de sécurité. Idem pour Firefox.

Le professeur appelle donc les éditeurs à modifier ce manque d'informations ainsi qu'un autre point : l’usage du clavier en mode plein écran.

L’API FullScreen devait à l’origine désactiver le clavier à l’exception de quelques touches (haut, bas, etc.). L’utilisateur qui souhaitait taper un texte – et donc l’activer – devait se le voir demander et signifier explicitement.

Pour Feross Aboukhadijeh, le problème a été pris dans le mauvais sens. Taper du texte en mode plein écran est une fonctionnalité de base. C’est le mode plein écran dans son ensemble qui devrait entraîner une mise en alerte, pas l’usage du clavier qui devrait exiger une autorisation.

D’autant plus, souligne-t-il, qu’il est devenu possible de taper du texte sur Facebook en plein écran avec Chrome et Firefox sans rencontrer le moindre avertissement.

Bref, du pain béni pour les cyber-criminels qui ne manqueront pas de créer des fausses pages d'identification, avec des adresses sécurisées totalement contrefaites, pour récupérer identifiants, mots de passe et autres informations en tout genre.

Source : Blog de Feross Aboukhadijeh


Et vous ?

Que vous inspire ce PoC : FUD ou alerte légitime ?

[Kaamo]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

NB : le blog de Feross Aboukhadijeh semble inaccessible depuis Firefox

Il est bien dispo chez moi (FF 16.0.1). D'ailleurs, lors du passage plein écran sur Firefox, il averti que le site tente de passer en plein écran (avec un bouton Autoriser et un bouton Interdire).
Sur Chrome aussi il semble afficher un bouton pour Autoriser/Interdire le mode plein écran.

[Gordon Fowler]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

NB : le blog de Feross Aboukhadijeh semble inaccessible depuis Firefox

Il est bien dispo chez moi (FF 16.0.1). D'ailleurs, lors du passage plein écran sur Firefox, il averti que le site tente de passer en plein écran (avec un bouton Autoriser et un bouton Interdire).
Sur Chrome aussi il semble afficher un bouton pour Autoriser/Interdire le mode plein écran.

Salut,

J'ai modifié pour FF.

Sur l'affichage des messages de Chrome et FF, l'auteur du PoC avance qu'à son avis ce n'est pas suffisant par rapport au risque qu'introduirait l'utilisation du plein écran.

Cordialement,

[Ev3r10st]

Ca marchera probablement très peu.
Les utilisateurs avertis ont bien souvent une UI bien à eux (genre un thème windows particulier, des onglets déjà ouverts, les marques pages et autres plugins, ...).

Et les autres seront certainement surpris de ne plus voir apparaitre leurs barres d'outils msn, windows live, avast, etc, etc...

[4sStylZ]

Bah en environnement pro j'ai une vm et un poste physique, chacun en pleins écran et un nombre colossal de fenêtres ouvertes.

Mes manipulations (passage en pleins écran de la fenetre, réduction partielle sur un coté de l'écran) inclue un bon nombre de rafraichissements de l'affichage, et beaucoup de changements visuels.

Vu que je suis dev web je travail aussi avec plusieurs navigateurs, et cela influe encore plus sur ces changements.

Je suis sur de me faire piéger (s'il n'y avait pas un message m'avertissant un passage en fullscreen) étant donné que je ne peux pas me permettre d'observer constamment la tronche de mes différents environnements.

De plus il est prouvé que les utilisateurs ne sont que peu affecté des changements visuels de leurs interface : Changez donc le navigateur de vos parents // grands parents, passez de IE à FF en changeant les icônes et le nom du raccourci. Ils se diront peut être à la limite "Oh tiens la drôle de mise à jour, tout à changé!"...

Et surtout, dans une entreprise, nombre de personne garde les thèmes, personas, nuances de couleurs par défaut. Parfois même Aero est désactivé par défaut.

Je pense vraiment que les navigateurs doivent réellement placer des avertissement de sécurité importants.

[camus3]

Que vous inspire ce PoC : FUD ou alerte légitime ?

Si il n'y avait que ça ... chaque API en plus est un potentiel risque du plus niveau sécurité...

[yohannc]

Et les autres seront certainement surpris de ne plus voir apparaitre leurs barres d'outils msn, windows live, avast, etc, etc...

Ce n'est que le temps d'un site, et même si ils sont supris, ils ne vont pas trop se poser de questions. En principe ces liens proviennent de courriers très suspects, ceux qui cliquent sur ces liens sont peut avertis.

Une solution pas mal je pense serait d'afficher un petit bandeau rouge tout en haut du plein écran, avec écrit "site non sécurisé" avec l'url également. Et biensûr un bouton "cacher l'alerte" et/ou "cacher définitivement les alertes pour le site www.blablabla".
Au moins n'importe qui verrait ce bandeau, et il pourrait être enlevé.

[thelvin]

Tout ça, je le dis depuis un bon moment. Je comprends bien l'intérêt de cette fonctionnalité mais elle est dangereuse.

- Elle ne devrait être active que si l'utilisateur est allé l'activer dans les options. Idéalement site par site.
- Si ce n'est pas site par site, elle devrait afficher un message "vous êtes en plein écran blah blah" avec une croix dans un coin pour fermer le message.

Les nouvelles fonctionnalités des navigateurs ne sont pas assez passées au crible.

[grunk]

Ca marchera probablement très peu.
Les utilisateurs avertis ont bien souvent une UI bien à eux (genre un thème windows particulier, des onglets déjà ouverts, les marques pages et autres plugins, ...).

Et les autres seront certainement surpris de ne plus voir apparaitre leurs barres d'outils msn, windows live, avast, etc, etc...

Les utilisateurs avertis ne sont pas les cibles. L'utilisateur de base n'y verra que du feu. Y'a qu'a voir le nombre de gens qui se font avoir par les pubs du genre "Nous avons détecté un virus , cliquez ici pour le nettoyer".

Et quand bien même sa barre d'outil aura disparu, il se sentira rassuré par la ressemblance avec le site qu'il souhaitait consulter.

[Uther]

Une solution pas mal je pense serait d'afficher un petit bandeau rouge tout en haut du plein écran, avec écrit "site non sécurisé" avec l'url également. Et biensûr un bouton "cacher l'alerte" et/ou "cacher définitivement les alertes pour le site www.blablabla".
Au moins n'importe qui verrait ce bandeau, et il pourrait être enlevé.

Sauf que c'est déjà ce qui se passe sous Google et Chrome(à la couleur rouge près). Je trouve que c'est plutôt voyant même si ce monsieur semble penser que ce n'est pas assez.

[thelvin]

Sauf que c'est déjà ce qui se passe sous Google et Chrome(à la couleur rouge près). Je trouve que c'est plutôt voyant même si ce monsieur semble penser que ce n'est pas assez.

C'est clairement pas suffisant. Une personne qui n'est pas capable techniquement, pense que quand on fait taire une alarme, on a résolu le problème.
Par ailleurs même si l'alarme est encore là, la personne ne sait pas trop à quels seins se vouer. Il y a des alarmes partout de nos jours, qui lui indique celle-ci ? Que veut-elle dire ? Apparemment elle concerne le site qu'elle visitait quand l'alarme est apparue, donc si elle va visiter le site de sa banque, c'est un autre site, le problème ne s'y applique pas, pas vrai ?

[yohannc]

Sauf que c'est déjà ce qui se passe sous Google et Chrome(à la couleur rouge près). Je trouve que c'est plutôt voyant même si ce monsieur semble penser que ce n'est pas assez.

C'est peut-être pas suffisant de demander si oui ou non on accepte le mode plein écran.
Les gens ne vont pas forcément faire le lien entre plein écran et problème de sécurité. Si ils voient le cadenas, ils vont se dire, ok c'est bon, je peu le mettre en plein écran, c'est sécurisé.

[Uther]

C'est clairement pas suffisant. Une personne qui n'est pas capable techniquement, pense que quand on fait taire une alarme, on a résolu le problème.
Par ailleurs même si l'alarme est encore là, la personne ne sait pas trop à quels seins se vouer. Il y a des alarmes partout de nos jours, qui lui indique celle-ci ? Que veut-elle dire ? Apparemment elle concerne le site qu'elle visitait quand l'alarme est apparue, donc si elle va visiter le site de sa banque, c'est un autre site, le problème ne s'y applique pas, pas vrai ?

Sauf que si la personne n'est pas capable de voir qu'il y a un problème dans ce cas, ne le fera pas non plus avec une popup

[thelvin]

Sauf que si la personne n'est pas capable de voir qu'il y a un problème dans ce cas, ne le fera pas non plus avec une popup

Encore moins c'est évident, c'est pour ça que j'ai jamais proposé de pop-up. Ce que je dis c'est que le fullscreen ne doit pas marcher si on est pas allé l'activer dans les options du navigateur.
Nous sommes dans un cas où l'existant ne doit pas changer sans que l'utilisateur en ai fait la demande lui-même.

... En tout cas quand on veut que les gens pas techniques soient protégés de ce genre de phishing. Mais bon, tant qu'ils cliqueront sur les liens mis dans les mails pour joindre directement la banque, on pourra toujours arguer que c'est peine perdue.

[pcaboche]

... la personne ne sait pas trop à quels seins se vouer.

Oui, c'est un problème récurrent chez ceux qui ont plusieurs maîtresses...

[Invité]

La mode du HTML5/Javascript risque de poser les mêmes problèmes de sécurité qu'il y a quelques années où l'on s'empressait de rendre les sites de plus en plus riches sans se préoccuper de les sécuriser. Après quoi? Le retour des contrôles ActiveX qui s’exécutent de manière totalement transparente peut être? Tout ceci me fait curieusement penser aux problèmes que l'on a déjà rencontré. L'avenir du Web s'annonce particulièrement catastrophique si ça continue!

A un moment, on critiquait vivement les applets Java, contrôles ActiveX, animations Flash et j'en passe car cela représentait des risques en matière de sécurité. Aujourd'hui, force est de constater qu'avec tout l'engouement que le HTML5 suscite, on ne tient plus tout à fait le même discours alors que la situation pourrait être sensiblement la même. A ceci près que là où il fallait exécuter un plugin, maintenant c'est en standard dans le navigateur, de quoi toucher encore plus de monde.

On ne doit pas pouvoir afficher du plein écran comme on veut, c'est tout.

[davguez]

Ca suppose quand même que l'utilisateur n'ai pas de barre de bookmark, de theme, de boutons d'extensions... parce que tout ce éléments, le site en question sera incapable de les reproduire en plain écran, et du coup l'image affiché ne ressemblera pas tant que ça au navigateur habituel de l'utilisateur. S'il a les yeux assez ouverts pour vérifier l'adresse dans la barre d'adresse, il l'aura sans doute pour se rendre compte du changement de physionomie soudaine de son navigateur... Si'il n'a pas les yeux assez ouverts, alors la faille n'apporte rien de plus que les méthodes de hameçonnage existante et décrite dans l'article.

[thelvin]

S'il a les yeux assez ouverts pour vérifier l'adresse dans la barre d'adresse, il l'aura sans doute pour se rendre compte du changement de physionomie soudaine de son navigateur... Si'il n'a pas les yeux assez ouverts, alors la faille n'apporte rien de plus que les méthodes de hameçonnage existante et décrite dans l'article.

Depuis des années on enseigne aux gens à regarder la barre d'adresse et le petit symbole de cadenas qui dit qu'il y a une sécurité.
Alors s'ils le font pas, alors qu'ils savent que sur Internet il y a n'importe quoi et il y a des méchants, bon ben c'est leur faute.
Mais s'ils le font, mais que maintenant ça suffit plus, il faut aussi faire attention quand "l'écran il est plus comme avant autour de la page, mais là je te parle de quand tu es dans le navigateur, pas quand l'ordinateur a un message à te donner, bon en gros il faut te méfier le site il risque de t'afficher une image qui ressemble à ton navigateur mais qui n'est plus ton navigateur..." Non, bon au bout d'un moment 'faut pas déconner, soit on a une manière accessible de se rendre compte que tout va bien ou mal, soit on n'en a pas. Là on n'en a pas.

[Pelote2012]

OUI oui ils sont averti, mais 90% de la population ne comprend pas jusqu'où ça peut aller.
Je connais des personnes qui utilise l'ordianteur au travail depuis plus de 10ans. Là tu te dis qu'ils s'y connaissent un peu. Mais non. Il y a 15 jours, il y en a un qui m'appelle, j'ai des pb sur mon ordinateur à la maison ... J'y vais (c'est mon boulot) et là holala. Pas de Maj MS et antivirus depuis 2006.
Oups. Je lui demande pourquoi? Bah au boulot on les informaticiens nous ont dit de ne pas les faire...
Va expliquer que dans certains cas au travail avec des sécurités au nveau du site et dans le fait que certains logiciels spécifiques avec des contraintes de SAV particulière, effectivement, tu ne fais pas de MAJ, mais que sur ton ordi perso... bah quoi, il faut les faire. J'ai gagné un reformatage, car les malwares eux ont appréciés le geste.

Tout cela pour dire, que maintenant la plupart des gens ne sauront même pas qu'ils ont un mode pleine écran (a moins que quelqu'un leur montre)
Mais piéger avec un jpeg ... ça montre à quel point il est facile de pièger les gens. Après, perso, je propose toujours des cours de béabas à mes clients ou les conseille sur les bonnes manières.
Un ordi est un outil puissant. Et comme tout outils puissants, il faut apprendre à s'en servir

[gta126]

Bonjour à tous,

Je me permet de réagir à cette discussion car je me demandais est ce que quand le navigateur passe en plein écran le moyen visuel qui marque le plus ne serait tout simplememt pas que la barre des taches soit simplement masquée par le navigateur ?
La même un utilisatwur non avertit remarquera facilement la supercherie.