Un chercheur en sécurité a mis en évidence un proof-of-concept (PoC) dans lequel il utilise l’API Fullscreen du standard HTML5 pour berner l’utilisateur. Il semble possible en théorie de créer une nouvelle forme d’attaque par phishing.
Feross Aboukhadijeh est étudiant en sciences informatiques à la célèbre université de Stanford et chercheur indépendant en sécurité. Il s’est intéressé à l'API Fullscreen du standard HTML5 qui, comme son nom l’indique, permet de basculer dans un mode d’affichage plein écran. Si vous vous demandez à quel moment vous avez pu croiser cette fonctionnalité issue du HTML5, ne cherchez pas loin : l’agrandissement en plein écran des vidéos sur YouTube ou celui de la visionneuse de photos sur Facebook.
Dans son proof-of-concept, Aboukhadijeh affiche un lien semblant tout à fait légitime vers le très sérieux site de la Bank of America. Même la prévisualisation du lien montre que la destination est celle qui est annoncée. Sauf qu’au moment où l’utilisateur clique sur ledit lien, le navigateur bascule en mode plein écran et affiche une fausse version du site de la banque. Pour les besoins de la démonstration, il s’agit d’une simple image, mais Aboukhadijeh indique qu’un site fonctionnel peut très bien y prendre place.
Comme l’explique le chercheur, le problème se situe dans l’évènement clic sur le lien, qui par ailleurs est réel, d’où le danger. Quand l’utilisateur clique, le site d’origine bloque l’appel vers le site de la Bank of America. À la place, il lance un appel vers l’API Fullscreen et en profite pour glisser le contenu malveillant prévu.
L’exploitation a cependant une limite. Pour insérer le contenu qui l’intéresse, le vrai-faux mode plein écran doit représenter ce qui devrait normalement s’afficher sur l’écran de l’utilisateur. Or, cela intègre notamment une barre ainsi que des contrôles, ce qui repose donc sur le duo navigateur/OS. Or, dans notre cas, nous avons utilisé Chrome sous Windows 8 :
On remarque le bouton de fermeture est celui de Vista/Windows 7 et ne correspond donc pas. Aboukhadijeh indique cependant que la majorité des utilisateurs risque de ne pas faire attention : seuls ceux qui connaissent vraiment l’environnement informatique font attention à ce genre de détail. Et encore, on pourrait tout à fait penser à un bug ou à un souci d’affichage sans nécessairement faire la liaison avec un risque de sécurité. Il s’agit en fait de la faiblesse de l’attaque, comme signalée par plusieurs personnes dans les commentaires de l’exposé. Toutefois, le travail de précision repose sur les épaules du concepteur de l’attaque.
Ceux qui souhaitent en savoir davantage pourront lire l’explication complète de l’auteur.
