Aza Raskin, designer réputé et gourou (tout comme son père) des interfaces homme-machine, vient de signer un billet aussi redoutable qu’amusant : il y traite de l’art de conduire une attaque en phishing par simple exécution d’un script hébergé, lui-même capable de singer la page de « login » d’un site fréquemment visité. Tous les détails et sa preuve de faisabilité sont disponibles sur le site de l’auteur.
L’attaque se déroule en plusieurs étapes. En premier lieu, l’attaquant peut fouiller dans l’historique des réseaux sociaux (un autre hack de l’auteur) ou s’intéresser aux journaux des navigateurs. Une fois les « pièges » déterminés, il suffit à l’attaquant d’insérer le script malicieux qui « chargera » à son tour une fausse page d’ouverture de crédence et modifiera par la même occasion l’onglet de la page web. Pour peu que la victime ait l’habitude d’ouvrir plusieurs onglets simultanément, le changement s’effectuera dans la plus grande discrétion, sans que l’usager le remarque. Charge à l’attaquant de prévoir les outils de récupération de mot de passe puis, éventuellement, de retransmettre lesdits sésames au site légitime pour ne pas éveiller les soupçons de la victime.
L’auteur donne par ailleurs quelques conseils judicieux aux hameçonneurs débutants. « Préférez plutôt les pages de confirmation de crédence provoquées par les « time out » plutôt que les demandes de login … cela fera plus réaliste si vous optez pour un phishing bancaire »… propos bien entendu plus ironiques que sérieux.
Pour l’heure, l’attaque est difficilement parable, car elle repose essentiellement sur le facteur humain. Si la preuve de faisabilité de l’auteur peut aisément être bloquée avec un simple « noscript » ou toute autre solution équivalente, rien ne permet de dire si des techniques autres qu’un exploit java ne pourraient être également utilisées pour aboutir à un résultat analogue.