Que sont les attaques Man in the Browser et comment les prévenir
Vous avez peut-être entendu parler des attaques de Man in the Middle (MitM). Une attaque Man in the Middle n’est que cela : un tiers se place entre deux parties et relaie les messages envoyés entre elles. En tant qu'homme du milieu, l'attaquant peut non seulement visualiser les messages envoyés et reçus, mais également les modifier.
Un sous-type d’attaques MitM est l’attaque Man in the Browser (MitB). Une attaque MitB est similaire à une attaque MitM, mais l'attaque MitB est limitée à votre navigateur Web plutôt qu'à l'ensemble du système. Cependant, cela ne le rend pas plus sûr.
Dans une attaque MitB, l’attaquant se situe entre le navigateur Web d’un utilisateur et les serveurs de destination. Comme dans une attaque MitM, l'attaquant peut visualiser les messages échangés entre le navigateur et les serveurs de destination et modifier ces messages. Il s’agit d’une attaque très grave généralement utilisée pour la fraude bancaire et par carte de crédit.
Dans cet article, nous allons expliquer comment fonctionnent les attaques MitB et comment vous pouvez vous en défendre. Nous allons également fournir des exemples d’attaques MitB en cours de route.
Qu’est-ce qu’une attaque Man in the Browser (MitB) ?
L'une des plus grandes différences entre une attaque MitM et une attaque MitB est que cette dernière a lieu au niveau de la couche application (interception et modification du contenu du navigateur) plutôt qu'au niveau de la couche réseau (interception et modification des paquets de données en transit). Cela signifie que l’attaque peut réussir, que le site que vous consultez soit ou non sécurisé par SSL (HTTPS).
La première étape pour réaliser une attaque MitB consiste à infecter l’ordinateur cible avec un logiciel malveillant. L'ordinateur cible doit être pré-infecté par un logiciel malveillant avant que l'attaque MitB puisse être menée. Il s'agira généralement d'un cheval de Troie. Une fois le système cible infecté, le cheval de Troie modifie le navigateur de l'utilisateur, généralement de deux manières :
- En exécutant un script malveillant qui configure le navigateur Web de la victime pour utiliser un serveur proxy contrôlé par l'attaquant.
- En installant une extension de navigateur Web compromise et contrôlée par l'attaquant.
Dans les deux cas, cela donne à l'attaquant la possibilité de visualiser les messages envoyés et reçus par le navigateur infecté et de les modifier.
L’utilisateur ne recevra aucune indication indiquant que quelque chose ne va pas. L’URL en haut du navigateur sera correcte, donc son inspection n’empêchera pas l’attaque et, si elle est activée, les avertissements « site malveillant » du navigateur ne seront pas déclenchés. La page Web apparaîtra tout à fait légitime même si elle vient d’être falsifiée par l’attaquant.
L’ingénierie sociale est le vecteur d’attaque
Comme pour de nombreuses attaques en ligne, sinon la plupart, l’ingénierie sociale est le point de départ de tout. Lorsque votre ordinateur est infecté par un cheval de Troie MitB, le point d’entrée est généralement une forme d’ingénierie sociale. Une fausse publication sur Facebook, un spam contenant un lien ou une pièce jointe malveillante, une fenêtre pop-up douteuse, etc.
Internet est un endroit hostile. Ne soyez pas trop confiant : ceux qui cherchent à abuser de votre confiance en ligne ne manquent pas. Traitez Internet comme un grand publi-reportage trompeur et lisez toujours les petits caractères.
Nous vous donnerons quelques conseils pour éviter les chevaux de Troie vers la fin de cet article.
Exemple d'attaque Man in the Browser
Une attaque MitB réussie peut contrôler le navigateur de la victime comme suit :
- Ajoutez de nouvelles colonnes/champs sur le site Web ou modifiez les champs existants.
- Changer l'apparence du site Web.
- Modifiez la saisie du formulaire de la victime (pages de paiement, formulaires de connexion, etc.).
- Intercepter les données transmises par l'utilisateur au site Internet et vice versa.
- Modifiez les réponses des serveurs, comme les messages de confirmation et les reçus.
- Supprimer les traces de la transaction frauduleuse lors des visites ultérieures de l'utilisateur sur le site.
Une attaque MitB réussie pourrait également détourner votre session (voler vos cookies pour contourner les connexions) ou effectuer une attaque par relecture.
Flux d'attaque de l'homme dans le navigateur
Voici à quoi peut ressembler une attaque MitB courante :
- L’ordinateur de la victime est infecté par un cheval de Troie MitB via une forme d’ingénierie sociale/phishing (fausse publication sur Facebook, spam avec un faux lien ou une fausse pièce jointe, etc.).
- Le cheval de Troie procède à la modification du navigateur de la victime en utilisant l’une des méthodes ci-dessus (extension de navigateur/serveur proxy).
- La victime se connecte à son site bancaire pour transférer des fonds sur le compte de sa mère.
- L’attaquant peut voir tout ce qui est envoyé et reçu par le navigateur de la victime.
- La victime saisit toutes les informations nécessaires au transfert des fonds et confirme le transfert.
- Au fur et à mesure que la demande de la victime est transmise à la banque, elle est interceptée et modifiée par l’attaquant pour transférer les fonds vers un compte contrôlé par l’attaquant plutôt que vers celui de la mère de la victime.
- L'attaquant envoie à la victime une page de confirmation d'apparence légitime indiquant que le transfert demandé a réussi.
La victime pourrait mettre des jours à se rendre compte que les fonds n'ont pas été transférés sur le compte prévu. Et lorsqu’ils le font, ils ne soupçonnent pas immédiatement que le problème vient de leur navigateur. Et la banque déclarera avoir reçu une demande de transfert des fonds sur le compte de l’attaquant. Et ils diront la vérité. À ce stade, le compte sera probablement fermé et l’entité derrière ce compte sera impossible à retrouver et n’aura probablement pas été une personne réelle au départ.
Ce qui précède n'est qu'un exemple. Les attaques MitB ne suivent pas de modèle fixe, hormis le fait qu’il s’agit d’attaques malveillantes qui ont tendance à cibler vos informations financières. Dans l’exemple ci-dessus, l’attaquant aurait pu insérer un nouveau champ de texte pour saisir des informations personnelles supplémentaires sur le site Web bancaire afin de récolter ces informations afin de perpétrer une autre attaque à une date ultérieure.
Presque tout est permis…
Exemples concrets de chevaux de Troie MitB
Serré
Serré est un cheval de Troie bancaire connu Man in the Browser. Il a été conçu pour récolter et transmettre des informations personnelles – plus précisément des informations bancaires – depuis l’ordinateur de la victime vers un serveur contrôlé par l’attaquant. Cette souche de cheval de Troie ciblait spécifiquement les ordinateurs Windows et a été observée pour la première fois en 2007.
Œil d'espion
Le cheval de Troie SpyEye affecte Google Chrome, Opera, Internet Explorer et Firefox sur les systèmes Windows. En plus de fournir à l'attaquant un accès à l'ordinateur compromis, le cheval de Troie fonctionne également comme un enregistreur de frappe. Un enregistreur de frappe enregistre les frappes au clavier d'un utilisateur d'ordinateur pour obtenir des informations d'identification et des informations sensibles telles que des numéros de carte de crédit.
Le cheval de Troie SpyEye peut insérer de nouveaux champs de texte dans la page Web consultée par la victime et peut également modifier les champs de texte légitimes de la page Web. Cela permet au cheval de Troie de demander à un utilisateur des informations sensibles et de supprimer les mots de passe, les noms d'utilisateur, les numéros de compte bancaire et de carte de crédit. SpyEye peut même afficher le faux solde d’un utilisateur tout en lui cachant les transactions frauduleuses.
Le cheval de Troie SpyEye est originaire de Russie en 2009, lorsqu'il a été vendu sur le Dark Web à des prix supérieurs à 500 dollars.
Carberp
Découvert pour la première fois dans la nature en 2009, le cheval de Troie Carberp a été conçu pour cibler Facebook . Carberp peut vérifier l'état de votre connexion Internet, vous connecter à des sites distants via Internet, télécharger d'autres logiciels malveillants et exécuter des fichiers. Assez méchant.
Si un utilisateur doté d’un navigateur Web infecté accédait à Facebook, celui-ci remplacerait toute page visitée par la victime par une page indiquant que le compte Facebook de la victime avait été temporairement verrouillé. Il demandait en outre le nom, la date de naissance, l’adresse e-mail et le mot de passe de l’utilisateur, ainsi que 20 euros pour confirmer son identité et déverrouiller le compte.
Du côté positif, nous savons où ce cheval de Troie est installé, vous pouvez donc toujours vérifier si vous avez été infecté :
- /ProgramFilesNVIDIA CorporationMises à jour
- /ProgramFilesNVIDIA CorporationCentre de mise à jour
Zeus
Le cheval de Troie Zeus, également connu sous les noms de ZeuS et Zbot, infecte les ordinateurs exécutant Microsoft Windows. Comme SpyEye, la finalité de Zeus est de récolter des informations financières via l’enregistrement au clavier et la saisie de formulaires.
Le cheval de Troie Zeus se propage généralement via des téléchargements effectués en voiture et par l'ingénierie sociale/le phishing. Un téléchargement drive-by est un téléchargement qui se produit sans le savoir lors du téléchargement d'autre chose. Un bon exemple de ceci est l'installation automatique de Google Chrome lorsque vous installez un autre programme, tel que CCleaner, sur des ordinateurs Windows. Dans le cas de Chrome, le téléchargement drive-by est inoffensif, mais il peut tout aussi bien s’agir d’un malware.
Zeus a été découvert pour la première fois en juillet 2007 lorsqu'il a été découvert qu'il avait infecté le ministère des Transports des États-Unis. En 2009, il a été découvert que Zeus avait infecté des organisations telles que Bank of America, Amazon, NASA et Oracle .
Comment détecter une attaque MitB ?
L’un des aspects les plus désagréables d’une attaque Man in the Browser est qu’elle est presque impossible à détecter. Lorsque vous êtes victime d'une attaque MitB, il n'y a pas de nouveaux processus à détecter ni d'URL géniales que vous pouvez inspecter. Tout semble être comme il se doit.
Cependant, il existe encore quelques indices subtils qui peuvent tirer la sonnette d’alarme. Ces indices ne sont pas exclusifs aux attaques MitB et pourraient être le symptôme de quelque chose de différent. Quoi qu’il en soit, il vaut toujours la peine de garder un œil sur les points suivants :
- Vous remarquez des éléments de page Web supplémentaires ou manquants
- Vous recevez une notification de connexion d'un appareil que vous ne reconnaissez pas
- Vous êtes soudainement déconnecté de votre compte
- Votre antivirus détecte les malwares sur votre ordinateur
Comment prévenir les attaques Man in the Browser ?
Je crains que nous ne puissions pas faire grand-chose pour nous protéger contre les attaques MitB. Mais cela ne veut pas dire que vous ne pouvez rien y faire. C’est juste que ce que vous pouvez faire est relativement inoffensif.
Voici une liste restreinte de ce que les organisations et les individus peuvent faire pour atténuer les attaques MitB.
Organisations
Gestion des comptes utilisateurs
Pour minimiser les opportunités d'attaques MitB, les organisations doivent mettre en œuvre des autorisations strictes sur les comptes d'utilisateurs afin d'empêcher l'élévation des privilèges. Cela limitera les dégâts si une attaque MitB réussit.
Sensibilisation des utilisateurs
Les organisations devraient fournir à leur personnel une formation de base sur la sécurité en ligne, couvrant des sujets tels que l'ingénierie sociale et la détection d'un ordinateur compromis, entre autres.
Personnes
Vérifiez les emplacements de stockage courants des chevaux de Troie
De nombreux chevaux de Troie MitB résident au même endroit sur votre ordinateur. Vérifiez les répertoires suivants pour toute application inconnue. Si vous trouvez quelque chose d'inhabituel, recherchez-le sur Internet et analysez-le avec un logiciel antivirus.
Les emplacements que vous devriez vérifier sont :
- C:/Fichier programme
- C:/Fichiers programme (x86)
- C:/Windows/Temp
Ne laissez pas votre navigateur Web ouvert
Vous devez fermer votre navigateur lorsque vous avez fini de l'utiliser. L'attaque MitB étant contenue dans votre navigateur Web, la fermeture du navigateur interrompt l'attaque. C’est peut-être rudimentaire, mais cela fonctionne – même si son utilité est limitée.
Mieux vaut éviter complètement les chevaux de Troie…
Comme vous pouvez le constater, les mesures ci-dessus ont une portée très limitée. Votre meilleur pari est d’éviter les chevaux de Troie en premier lieu. Je vous recommande de lire notre article dédié sur Cheval de Troie malveillant pour plus d'informations. Mais voici les principaux points à retenir de cet article sur la manière d’éviter les chevaux de Troie.
Même si rien n’est sûr à 100 %, ces conseils de bon sens devraient vous aider.
- Installez un antivirus et configurez-le pour exécuter des analyses à intervalles réguliers. De nombreux produits antivirus peuvent détecter les chevaux de Troie MitB.
- Utilisez un pare-feu : Tous les principaux systèmes d'exploitation disposent d'un pare-feu entrant intégré et tous les routeurs commerciaux du marché disposent d'un pare-feu NAT intégré. Assurez-vous de les activer.
- Ne cliquez jamais sur les pop-ups.
- Si votre navigateur affiche un avertissement concernant un site Web auquel vous essayez d'accéder, vous devez y prêter attention et obtenir les informations dont vous avez besoin ailleurs.
- Ne téléchargez jamais de logiciel piraté – les produits gratuits peuvent sembler attrayants, mais rappelez-vous que ceux qui les téléchargent cherchent souvent à gagner de l’argent, soit en compromettant eux-mêmes votre système, soit en vendant vos informations à d’autres escrocs du Web.
- Achetez uniquement des logiciels de sécurité authentiques et bien évalués auprès de fournisseurs légitimes.
- N'ouvrez les pièces jointes d'un e-mail que si vous faites confiance à l'expéditeur et vous êtes sûr de pouvoir vérifier leur identité – des virus arrivent par courrier, et c'est pourquoi c'est toujours une bonne idée d'analyser tout votre courrier entrant avec un programme antivirus.
- Gardez vos programmes à jour . Les logiciels malveillants et les virus tentent généralement d'exploiter les failles de sécurité trouvées dans les logiciels obsolètes.
- Faites des sauvegardes régulières de votre ordinateur.
- Si vous recevez un email demandant des informations tout en prétendant appartenir à une organisation officielle avec laquelle vous entretenez une relation, lis-le très attentivement avant de faire quoi que ce soit . Y a-t-il des fautes d’orthographe et de grammaire ? Est-ce que cela a un air d’urgence ? Ce sont des signes classiques d’une tentative de phishing. Et n’oubliez pas que votre banque ou le gouvernement ne vous demandera jamais de leur envoyer des informations sensibles par courrier électronique.
- Ne cliquez pas sur les liens (URL) dans les e-mails à moins que vous sachiez exactement qui a envoyé l'URL et où elle renvoie. Et même alors, scrutez le lien. Est-ce un lien HTTP ou HTTPS ? La plupart des sites légitimes utilisent aujourd'hui HTTPS. Le lien contient-il des fautes d'orthographe (google au lieu de google) ? Si vous pouvez arriver à destination sans utiliser le lien, faites-le à la place.
Emballer
Voilà donc la vérité sur les attaques Man in the Browser. Ils sont difficiles à détecter et à combattre. Votre meilleur pari est la vigilance et un bon degré de suspicion lorsque vous êtes en ligne. Cela peut être difficile à faire lorsque vous êtes une personne digne de confiance. Mais sur Internet, les soupçons sont justifiés. Vous pouvez au moins faire confiance à cela.
Restez en sécurité (en ligne).