● Kaspersky FR 📅 11/03/2026 à 11:35

Cybersécurité 👤 Alanna Titterington

🏷️ Tags : phishing cert olt rte stoc

En 2022, nous nous sommes penchés sur la méthode d’attaque BitB (browser-in-the-browser ou navigateur dans le navigateur), développée initialement par un chercheur en cybersécurité connu sous le nom de mr.d0x. À l’époque, il n’existait aucun exemple d’utilisation de ce modèle dans des situations réelles. Quatre ans plus tard, les attaques « navigateur dans le navigateur » sont passées de la théorie à la réalité : les navigateurs les utilisent désormais en pratique. Dans cet article, nous rappelons ce qu’est exactement une attaque de type « navigateur dans le navigateur », nous montrons comment les pirates informatiques la mettent en œuvre et, surtout, nous expliquons comment éviter d’en être la prochaine victime. Qu’est-ce qu’une attaque de type « navigateur dans le navigateur » (BitB) ? Pour commencer, rafraîchissons-nous la mémoire sur ce que le chercheur mr.d0x a réellement concocté. Le cœur de l’attaque découle de son observation de l’avancée des outils modernes de développement Web (HTML, CSS, JavaScript, etc.). C’est cette constatation qui a inspiré le chercheur à imaginer un modèle de phishing particulièrement élaboré. Une attaque de type « navigateur dans le navigateur » est une technique élaborée de phishing qui utilise la conception de sites Internet pour créer des pages Web frauduleuses imitant les fenêtres de connexion de services réputés tels que Microsoft, Google, Facebook ou Apple, et ressemblant fidèlement aux véritables pages Web. Selon le concept du chercheur, un pirate doit créer un site en apparence authentique afin d’attirer les victimes. Une fois sur le site, les utilisateurs ne peuvent laisser de commentaires ou effectuer des achats qu’après s’être « connectés ». La connexion semble plutôt évidente : il suffit de cliquer sur le bouton Se connecter avec {nom du service le plus populaire}. Et c’est là que les choses commencent à poser problème : au lieu d’une véritable page d’authentification fournie par le service légitime, l’utilisateur se retrouve devant un faux formulaire restitué à l’intérieur du site malveillant, ressemblant en tous points à… une fenêtre contextuelle de navigateur. De plus, la barre d’adresse de la fenêtre contextuelle, également affichée par les pirates, présente une URL tout à fait légitime. Même une inspection minutieuse ne permet pas de déceler la supercherie. À ce stade, l’utilisateur peu méfiant saisit ses identifiants Microsoft, Google, Facebook ou Apple dans cette fenêtre, et ces informations sont directement transmises aux cybercriminels. Pendant un certain temps, ce stratagème est resté à l’état expérimental et théorique pour le chercheur en sécurité. Aujourd’hui, les cybercriminels l’ont ajouté à leur arsenal. Vol d’identifiants Facebook Les pirates informatiques ont adapté le concept original de mr.d0x : les récentes attaques de type « navigateur dans le navigateur » ont commencé par des emails censés alarmer les destinataires. Par exemple, une campagne de phishing s’est fait passer pour un cabinet d’avocats informant l’utilisateur qu’il avait enfreint le droit d’auteur en publiant quelque chose sur Facebook. Le message comprenait un lien en apparence crédible qui renvoyait prétendument à la publication incriminée. Des pirates informatiques ont envoyé des messages au nom d’un faux cabinet d’avocats alléguant une violation des droits d’auteur, accompagnés d’un lien censé renvoyer à la publication en cause sur Facebook. Source Fait intéressant, pour faire baisser la garde de la victime, le fait de cliquer sur le lien n’ouvrait pas immédiatement une fausse page de connexion Facebook. Au lieu de cela, l’utilisateur était d’abord invité à résoudre un faux CAPTCHA Meta. Ce n’est qu’une fois la vérification effectuée que la fenêtre contextuelle de connexion s’affichait à l’écran. Il ne s’agit pas d’une véritable fenêtre contextuelle de navigateur, mais d’un composant de site Internet imitant une page de connexion à Facebook – une ruse qui permet aux pirates d’afficher une adresse totalement convaincante. Source Bien entendu, la fausse page de connexion à Facebook reprenait le modèle de mr.d0x : elle était entièrement construite à l’aide d’outils de conception Web afin de récolter les identifiants de la victime. Par ailleurs, l’URL affichée dans la barre d’adresse falsifiée pointait vers le véritable site de Facebook, www.facebook.com. Comment éviter d’être victime d’une telle attaque Le fait que les escrocs déploient désormais des attaques de type « navigateur dans le navigateur » montre bien que leur arsenal est en constante évolution. Mais ne désespérez pas, il existe une façon de savoir si une fenêtre de connexion est authentique. Un gestionnaire de mots de passe fiable est votre ami ici, qui, entre autres choses, agit comme un test de sécurité fiable pour n’importe quel site Internet. En effet, lorsqu’il s’agit de remplir automatiquement des identifiants, un gestionnaire de mots de passe prend en compte l’URL réelle, et non ce que la barre d’adresse sembl

🔗 Lire l'article original 👁️ 1 lecture