--> Soyez prudent, cette fenêtre contextuelle de mot de passe pourrait être fausse

$type=grid$count=4$tbg=rainbow$meta=0$snip=0$rm=0$show=home

Soyez prudent, cette fenêtre contextuelle de mot de passe pourrait être fausse

SHARE:

 

fenêtre contextuelle

  • Un chercheur en sécurité a mis au point un moyen de créer des fenêtres contextuelles de connexion unique très convaincantes mais factices.
  • Les fausses fenêtres contextuelles utilisent des URL légitimes pour apparaître authentiques.
  • L'astuce démontre que les personnes utilisant uniquement des mots de passe se verront voler leurs  identification tôt ou tard, avertissent les experts.

Naviguer sur le Web devient chaque jour plus délicat

 

Naviguer sur le Web

De nos jours, la plupart des sites Web offrent plusieurs options pour créer un compte. Vous pouvez soit vous inscrire sur le site Web, soit utiliser le mécanisme d'authentification unique (SSO) pour vous connecter au site Web en utilisant vos comptes existants auprès d'entreprises réputées telles que Google, Facebook ou Apple. Un chercheur en cybersécurité  a conçu un nouveau mécanisme pour donne un aperçu d'une nouvelle façon qui permet de voler vos identifiants de connexion en créant une fausse fenêtre de connexion SSO pratiquement indétectable.

 

"La popularité croissante du SSO offre de nombreux avantages aux [personnes]" , a déclaré Scott Higgins , directeur de l'ingénierie chez Dispersive Holdings, Inc. "Cependant, des pirates informatiques intelligents profitent désormais de cette voie de manière ingénieuse."

 

Faux login

Traditionnellement, les attaquants ont utilisé des tactiques telles que les attaques homographes qui remplacent certaines des lettres de l'URL d'origine par des caractères d'apparence similaire pour créer de nouvelles URL malveillantes difficiles à repérer et de fausses pages de connexion.

 

Cependant, cette stratégie échoue souvent si les gens examinent attentivement l'URL. L'industrie de la cybersécurité conseille depuis longtemps aux utilisateurs de vérifier la barre d'URL pour s'assurer qu'elle contient la bonne adresse et qu'elle comporte un cadenas vert à côté, ce qui signale que la page Web est sécurisée.

Ooh that’s nasty: Browser In The Browser (BITB) Attack, a new phishing technique that allows stealing credentials that even a web professional can’t detect. #Security https://t.co/cxU83DMEzt pic.twitter.com/m9eYOmq0al

"Tout cela m'a finalement amené à penser, qui est-il possible de rendre le conseil 'Vérifiez l'URL' moins fiable ? Après une semaine de brainstorming, j'ai décidé que la réponse est oui", a écrit le chercheur anonyme qui utilise le pseudonyme, m. d0x . 

 

L'attaque créée par mr.d0x, nommée navigateur dans le navigateur (BitB), utilise les trois éléments constitutifs essentiels du Web - HTML, feuilles de style en cascade (CSS) et JavaScript - pour créer une fausse fenêtre contextuelle SSO. c'est essentiellement impossible à distinguer de la vraie chose.

 

«La fausse barre d'URL peut contenir tout ce qu'elle veut, même des emplacements apparemment valides. mécanisme de d0x.

 

Pour démontrer BitB, mr.d0x a créé une fausse version de la plateforme de conception graphique en ligne, Canva. Lorsque quelqu'un clique pour se connecter au faux site à l'aide de l'option SSO, le site Web affiche la fenêtre de connexion conçue par BitB avec l'adresse légitime du fournisseur SSO usurpé, tel que Google, pour inciter le visiteur à entrer ses identifiants de connexion, qui sont puis envoyé aux assaillants.

 

 

 

La technique a impressionné plusieurs développeurs web. "Ooh c'est méchant : Browser In The Browser (BITB) Attack, une nouvelle technique de phishing qui permet de voler des identifiants que même un professionnel du web ne peut pas détecter", a écrit François Zaninotto , PDG de la société de développement web et mobile Marmelab , sur Twitter.

 

Regarde où tu vas

Alors que BitB est plus convaincant que les fausses fenêtres de connexion ordinaires, Higgins a partagé quelques conseils que les gens peuvent utiliser pour se protéger.

 

Pour commencer, bien que la fenêtre contextuelle BitB SSO ressemble à une fenêtre contextuelle légitime, ce n'est vraiment pas le cas. Par conséquent, si vous saisissez la barre d'adresse de cette fenêtre contextuelle et essayez de la faire glisser, elle ne dépassera pas le bord de la fenêtre principale du site Web, contrairement à une véritable fenêtre contextuelle qui est complètement indépendante et peut être déplacée vers n'importe quel partie du bureau. 

 

Higgins a partagé que tester la légitimité de la fenêtre SSO à l'aide de cette méthode ne fonctionnerait pas sur un appareil mobile. "C'est là que [l'authentification multifacteur] ou l'utilisation d'options d'authentification sans mot de passe peuvent vraiment être utiles. Même si vous étiez la proie de l'attaque BitB, [les escrocs] ne pourraient pas nécessairement [utiliser vos identifiants volés] sans les autres parties d'une routine de connexion MFA », a suggéré Higgins.

 

"Internet n'est pas notre maison. C'est un espace public. Nous devons vérifier ce que nous visitons."

De plus, comme il s'agit d'une fausse fenêtre de connexion, le gestionnaire de mots de passe (si vous en utilisez un) ne remplira pas automatiquement les informations d'identification, ce qui vous donnera à nouveau une pause pour repérer quelque chose qui ne va pas. 

 

Il est également important de se rappeler que même si la fenêtre contextuelle BitB SSO est difficile à repérer, elle doit toujours être lancée à partir d'un site malveillant. Pour voir un pop-up comme celui-ci, vous auriez déjà dû être sur un faux site Web. 

 

C'est pourquoi, bouclant la boucle, Adrien Gendre , Chief Tech and Product Officer chez Vade Secure , suggère aux utilisateurs de regarder les URL chaque fois qu'ils cliquent sur un lien.

 

"De la même manière que nous vérifions le numéro sur la porte pour nous assurer que nous nous retrouvons dans la bonne chambre d'hôtel, les gens devraient toujours jeter un coup d'œil rapide aux URL lorsqu'ils naviguent sur un site Web. Internet n'est pas notre maison. C'est un espace public . Nous devons vérifier ce que nous visitons », a souligné Gendre.

COMMENTS

Nom

'iPhone 12,3,Amazon,1,Android,217,ANDROID 11,3,Android TV,2,AndroidTV,1,Anti-Virus,1,aplication,40,Appel,13,APPLE,7,Apple Music,1,Apple Watch,2,AppleFitness +,1,application,4,application gratuite,23,APPLICATIONS,3,astuce,249,brave,1,call of Dury,2,call of Dury mobile,4,Call Of Duty Mobile,2,chrome,2,Chrome Web Store,1,Chromecast,1,CONCEPTION,2,CONCEPTIONT,1,crypter vos fichiers,1,Cyberpunk 2077,2,Divertissement,159,DuckDuckGo,3,Epic Games,7,Evernote,1,extension navigateur,1,FACEBOOK,6,Far cry,1,Firefox,11,Fortnite,1,Fortnite Epic Games,3,Free Fire,2,Galaxy S21,2,Galaxy S21 Ultra,1,GALAXY S30,1,GALAXYS21,1,game boy,1,Glose Éducation,1,Gmail,3,google,19,Google agenda,1,google chrome,14,Google Drive,3,Google Duo,1,Google le Pixel 5,2,Google le Pixel 6,1,Google Maps,4,Google Meet,8,Google Pay,2,google photo,1,google play,2,google stadia,1,GOOGLE-ONE,1,GTA,3,GTA 6,1,Houseparty,1,Huawei,2,inf,1,info,494,infos,2,Instagram,10,INSTRAGRAM,2,intel,1,iOS,21,iOS 15.2,1,iOS14,1,ios15,1,iphon,10,iPhone,4,iPhone 12,3,iPhone 12 mini,1,iPhone 13,1,jeux,1,Jeux gratuite,1,jeux gratuits,1,jeux gratuits ps,1,jeux vidéo,2,Kaspersky,1,l'Ultra Wideband,2,la ville de saida,1,LG,3,Linux,2,Logiciel,233,Meet Now,1,meta,3,mettre à jour votre logiciel de navigation,1,Microsoft,18,Microsoft Edge,8,Microsoft Office,3,Microsoft Teams,7,Minecraft,1,mise à jour,25,mise à niveau gratuite,1,Mobdro,1,Mortal Kombat 11,1,moteurs de recherche,2,Motorola,1,Netflix,7,Nintendo Switch,1,nouveaux films,1,OnePlus,1,OPPO,2,OPPO A15,1,pdf,15,phot,1,photos,41,piratage,2,Pixel 4a 5G,1,Play Store,1,PlayStation5,1,poco,1,pokémon GO,1,PS5,5,PUBG,1,PUBG Mobile,2,Redmi Note 11,3,Rufus,1,S21+ S21 Ultra,1,saisie vocale,1,SAMSUNG,16,Samsung Galaxy S21,7,sécurité,3,service web,1,signal,3,Skype,2,smartphone,4,Snapchat,4,Snapdragon 8 Gen 1,2,sony,4,spotify,2,Stadia,1,Starlink,2,Surf Anonyme,37,Surface Duo,1,SwiftKeyKeyboard,1,Tech,149,teck,2,TÉLÉCHARGEMENTS,1,Telegram,10,Threema,1,TikTok,7,tor android,1,torrent,1,Twitter,3,usb,1,vidéo conférence,4,vlc,2,vpn,9,VR,1,WhatsApp,40,wifi,1,winamp,1,Windows,6,Windows 10,10,Windows 10 20H1,1,Windows 10 20H2,2,Windows 10X,1,Windows 7,1,Windows Defender,1,Windows10,3,Windows11,1,Xbox,1,Xiaomi,13,YOUTUBE,16,zoom,6,Zoom virtual backgrounds,1,المكتبة الصوتية للقرآن,2,تحميل القران الكريم,5,
ltr
item
saidapartage: Soyez prudent, cette fenêtre contextuelle de mot de passe pourrait être fausse
Soyez prudent, cette fenêtre contextuelle de mot de passe pourrait être fausse
Un chercheur en sécurité a mis au point un moyen de créer des fenêtres contextuelles de connexion unique très convaincantes mais factices. Les fausses
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjijSgqa-PpU-dJ_Z3-S_pvf5vZJEtLc4HOkzwoPCoglZIwm6HWJutZg8gZKuMZtc1i1ZTuqm9jX_aZE7unt43hGLjygf1QRpYBO7LuhEMWQC2NJqTJ7uatN6wkUsYLS22UxTygaIhy_TLRPwvXfknlubUvzHY-td1XTqzrDVdkeXQtjPtnaIH-8Xt1xw/w640-h536/Sans%20titre%20-%202022-03-25T165018.531.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjijSgqa-PpU-dJ_Z3-S_pvf5vZJEtLc4HOkzwoPCoglZIwm6HWJutZg8gZKuMZtc1i1ZTuqm9jX_aZE7unt43hGLjygf1QRpYBO7LuhEMWQC2NJqTJ7uatN6wkUsYLS22UxTygaIhy_TLRPwvXfknlubUvzHY-td1XTqzrDVdkeXQtjPtnaIH-8Xt1xw/s72-w640-c-h536/Sans%20titre%20-%202022-03-25T165018.531.png
saidapartage
https://www.saidapartage.xyz/2022/03/soyez-prudent-cette-fenetre.html
https://www.saidapartage.xyz/
https://www.saidapartage.xyz/
https://www.saidapartage.xyz/2022/03/soyez-prudent-cette-fenetre.html
true
6390850979499270337
UTF-8
Loaded All Posts Not found any posts VIEW ALL Lire la suite Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content