«Phishing» : découverte d'une méthode plus sournoise pour les arnaques par courriel

Il ne s'agit pas d'une nouvelle faille dans les fureteurs Web mais plutôt d'une technique connue qui pourrait être appliquée par des fraudeurs dans des cas d'arnaques par courriel de type «phishing».

Le chercheur britannique Sam Greenhalgh, aussi connu sous le pseudonyme «Zap the dingbat», a démontré que la technique d'injection de script via des URL pourrait être éventuellement exploitée par des fraudeurs pour faire apparaître sur certains sites d'institutions financières des textes appartenant à d'autres sites afin de duper les internautes et les inciter à fournir des informations confidentielles. L'injection de script est aussi appelée Cross Site Scripting ou XSS.

Le «phishing», une technique de fraude en ligne de plus en plus répandue sur Internet, consiste à expédier massivement des messages de courriel en prétendant être une banque ou un commerce en ligne, et à demander aux internautes de fournir de nouveau des renseignements confidentiels en prétextant par exemple un problème du système qui aurait causé une perte de données.

Dans son texte de présentation intitulé «Mastercard est-elle partie en voyage de pêche en laissant la porte grande ouverte?», le spécialiste en sécurité informatique révèle notamment que le site Mastercard est vulnérable à ce type d'attaques, un fait décevant de la part d'une entreprise qui annonçait justement le mois dernier de nouvelles mesures pour enrayer les fraudes par courriel de type «phishing».

Sam Greenhalgh précise qu'il ne s'agit pas d'une nouvelle faille de sécurité mais que son exploitation sur certains sites vulnérables, notamment à cause de formulaires qui ne s'assurent pas de la validité des données saisies, pourrait constituer une nouvelle menace. Celui qui a découvert l'an dernier un bogue d'Internet Explorer qui facilitait le même type de fraudes par Internet, ajoute que l'utilisation de l'injection de script est cependant «beaucoup plus dangereuse car le site authentique est manipulé pour afficher du contenu non valide» via un script externe qui est appelé dans l'URL.

Selon le magazine eWeek, cette vulnérabilité pourrait être exploitée à partir d'Internet Explorer (même avec la version RC 2 du SP2 de Windows XP) et de Firefox 0.9.1. La firme Netcraft, qui offre des services de surveillance de sites Web, ajoute que l'exploitation de cette faiblesse fonctionne également avec les pages sécurisées par le protocole SSL et que les fraudeurs pourraient aussi s'emparer du fichier témoin (cookie) d'un internaute afin de détourner sa session.

Interrogé par BRANCHEZ-VOUS.com, Sam Greenhalgh, alias «Zap the dingbat», a indiqué qu'il est très simple et rapide de tester la vulnérabilité d'un site Web à ce type d'attaques avec un script minuscule. Des fraudeurs pourraient donc sonder sans tarder les sites de banques et d'autres institutions financières à la recherche de ce type de brèche. Entre-temps, il est à souhaiter que les opérateurs de sites vulnérables corrigent la situation.

La meilleure protection contre le «phishing» reste toutefois de ne pas répondre à ce type de courriel (et de rapporter l'événement à l'institution concernée) car les banques et les commerces en ligne n'expédient jamais de message dans le but d'obtenir des renseignements confidentiels tels que numéro de carte de crédit, nom d'utilisateur et mot de passe.

Envoyer à un(e) ami(e)

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 19 juillet 2004
Vous voulez réagir à cette actualité? Faites-le maintenant dans notre forum Internet