Un chercheur en sécurité a mis en évidence un proof-of-concept (PoC) dans lequel il utilise l’API Fullscreen du standard HTML5 pour berner l’utilisateur. Il semble possible en théorie de créer une nouvelle forme d’attaque par phishing.
Feross Aboukhadijeh est étudiant en sciences informatiques à la célèbre université de Stanford et chercheur indépendant en sécurité. Il s’est intéressé à l'API Fullscreen du standard HTML5 qui, comme son nom l’indique, permet de basculer dans un mode d’affichage plein écran. Si vous vous demandez à quel moment vous avez pu croiser cette fonctionnalité issue du HTML5, ne cherchez pas loin : l’agrandissement en plein écran des vidéos sur YouTube ou celui de la visionneuse de photos sur Facebook.
Dans son proof-of-concept, Aboukhadijeh affiche un lien semblant tout à fait légitime vers le très sérieux site de la Bank of America. Même la prévisualisation du lien montre que la destination est celle qui est annoncée. Sauf qu’au moment où l’utilisateur clique sur ledit lien, le navigateur bascule en mode plein écran et affiche une fausse version du site de la banque. Pour les besoins de la démonstration, il s’agit d’une simple image, mais Aboukhadijeh indique qu’un site fonctionnel peut très bien y prendre place.
Comme l’explique le chercheur, le problème se situe dans l’évènement clic sur le lien, qui par ailleurs est réel, d’où le danger. Quand l’utilisateur clique, le site d’origine bloque l’appel vers le site de la Bank of America. À la place, il lance un appel vers l’API Fullscreen et en profite pour glisser le contenu malveillant prévu.
L’exploitation a cependant une limite. Pour insérer le contenu qui l’intéresse, le vrai-faux mode plein écran doit représenter ce qui devrait normalement s’afficher sur l’écran de l’utilisateur. Or, cela intègre notamment une barre ainsi que des contrôles, ce qui repose donc sur le duo navigateur/OS. Or, dans notre cas, nous avons utilisé Chrome sous Windows 8 :
On remarque le bouton de fermeture est celui de Vista/Windows 7 et ne correspond donc pas. Aboukhadijeh indique cependant que la majorité des utilisateurs risque de ne pas faire attention : seuls ceux qui connaissent vraiment l’environnement informatique font attention à ce genre de détail. Et encore, on pourrait tout à fait penser à un bug ou à un souci d’affichage sans nécessairement faire la liaison avec un risque de sécurité. Il s’agit en fait de la faiblesse de l’attaque, comme signalée par plusieurs personnes dans les commentaires de l’exposé. Toutefois, le travail de précision repose sur les épaules du concepteur de l’attaque.
Ceux qui souhaitent en savoir davantage pourront lire l’explication complète de l’auteur.
Commentaires (61)
#1
Sur le teste j’ai une interface Firefox, qui ressemble absolument pas à la mienne… Mais c’est sur que sans extensions, sans skins, et sans modif du système, on peut se faire avoir.
Mais c’était déjà réalisable avec Flash ce genre de truc.
#2
Perso, j’obtiens exactement la même chose que sur mon firefox. Ca pourrait vraiment devenir piégeant, surtout si le lien semble au départ le bon.
" />) qui peut me montrer que l’interface est différente, on peut noter aussi les boutons de la barre d’adresse. Par contre, je ne remarque pas de différences au niveau du bouton de fermeture.
Il n’y a que le zoom de win7 (mise à l’échelle pour les myopes
#3
Bon bah je vais rester sur mon habitude de pas avoir le navigateur en plein écran
" />
#4
Je risque de ne pas trop me tromper, mon thème firefox n’est pas repris dans le mode fullscreen. Enfin, pour le moment…
#5
#6
Je suis sous Mageia, avec KDE et Firefox.
Le page me donne un thème qui ressemble à ambiance avec unity (avec le nom d’utilisateur faux, évidemment).
C’est très loin de passer inaperçu, même pour l’utilisateur inexpérimenté.
C’est une illustration originale du fait que la diversité des thèmes et des desktops (et donc des distributions) sous linux est une bonne chose pour la sécurité.
#7
C’est connu, et ça fait longtemps que les mecs de chrome et Firefox y ont pensé. Ca a lancé pas mal de débats au tout début de l’élaboration de la norme entre ceux qui avaient peur de ce genre d’attaque, et ceux qui voulaient faire avancer les fonctionnalités.
Je pense que chacun de ces deux navigateurs doivent pouvoir être configurés à rejeter toute demande de plein écran, sauf une liste blanche. (si c’est pas le cas, ils devraient)
#8
#9
Il y a une alerte quand on passe en mode plein écran non? Cela ne fonctionne pas comme le plein écran déjà ancien du navigateur (F11)?
#10
Rien que le fait de n’avoir que 1 onglet dans chrome est suspect pour moi…
#11
Il faudrait pour que ça marche ne pas avoir de skin différent (ne serait-ce qu’une couleur qui ne soit pas le bleu sous Vista/7), pas d’onglet, ne pas voir l’avertissement qui dit que le feross.org veut afficher en plein écran (et non bankofamerica)… Ça fait quand même un peu beaucoup de conditions à réunir
" />
#12
Je suis sur Firefox et winXP (pas le choix, c’est pas ma bécane).
" />
Mon thème noir n’est pas repris, du coup c’est flagrant
#13
Malheureusement c’est suffisant pour ceux qui ne connaisse rien et qui accepte tout est n’importe quoi.
" />
Autoriser le plein écran?
Ben oui je veux aller sur le site de ma banque.
Tiens mon navigateur bug, j’ai perdu mes onglet … Tant pis.
Bon, numéro de carte bleu, code, voila c’est rempli.
#14
#15
#16
Firefox 10.0.0.8 ESR, windows 7.
A part une musique débile, il ne se passe rien quand je clique…
#17
#18
Avec une détection de l’OS et du navigateur, on pourrait très bien charger une image qui correspond à l’interface que l’utilisateur utilise (sauf les thèmes, nombres d’onglets,etc…).
Pour les avertis, clairement, ça marchera pas ce genre de méthode. Mais pour Madame Michu, je pense qu’elle y verra que du feu :/
Edit : Ah bah, c’est déjà ce qu’il fait presque. Maintenant, il faut encore faut encore gérer la version du navigateur (FF stable et FF Nightly n’ont pas la même interface par exemple ^^)
#19
#20
Avec l’option transparence, le lien ne permet pas de retrouver la même image que ton bureau. Et en plus, la barre des taches disparait.
#21
#22
Bien essayé, même sous Linux … a condition d’avoir une Ubuntu de base
" />
" />
Le panurgisme des utilisateurs est l’une des plus grosse faille de l’informatique.
Le seul antivirus que je connaisse est une extinction de masse
#23
#24
#25
Sérieux ? quand on passe en fullscreen, l’écran clignote donc très facile à percevoir.
#26
#27
#28
#29
#30
c’est possible aussi sur un smartphone?
Si oui, c’est plus compliqué à détecter vu qu’on a tous le même skin sur un mobile
#31
#32
Désolé mais avec noscript cela ne passe pas.
" /> 
" />
#33
#34
#35
Il semble possible en théorie
puis
Dans son proof-of-concept
Il faudrait choisir (à mon avis).
#36
#37
En passant par Maxthon 3 c’est une fenetre style Chrome qui s’ouvre… du coup c’est relativement flagrant.
" />
Pas testé avec d’autres naviguateurs, mais selon les différents retour, certains risquent de se faire avoir
#38
IE9 ça passe pas comme quoi c’est pas toijours bon d’être à la page
" />
#39
#40
Mon FF demande une confirmation avant de basculer en fullscreen
" />.
Faudrait être vraiment inattentif pour se faire berner.
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
Yep, testé et effectivement, le constat est le même que beaucoup: c’est vrai que Fx m’a “indiqué” d’une manière peu conventionnelle que le mode fullscreen allait être mis en place, c’est vrai que l’interface qui a suivi n’avait rien à voir du tout (surtout quand t’as les onglets en-dessous à l’ancienne et que t’as un thème personas), mais… la manip’ existe dont elle est potentiellement efficace pour quelqu’un de béotien, peu intéressé, pressé, etc…
" />
" />
Enfin j’ai d’abord lu la news, puis tous les com’ avant d’aller quand même tester par curiosioté parce que :
Si vous vous demandez à quel moment vous avez pu croiser cette fonctionnalité issue du HTML5, ne cherchez pas loin : l’agrandissement en plein écran des vidéos sur YouTube
Euh non, c’est celle du lecteur flash
ou celui de la visionneuse de photos sur Facebook.
connais pas, désolé
Mais bref, évidemment les pbs de concordance graphique existeront, mais il doit y avoir une grosse proportion de gens qui ont tout par défaut et qui ne seront pas attentifs, )à mon avis c’est quand même la plus grosse proportion à l’heure actuelle, donc c’est potentiellement dangeureux
#56
#57
#58
#59
#60
#61