Torturée, la dernière trouvaille d’Amit Klein, CTO de Trusteer ? Probablement. Mais indéniablement efficace. Imaginons un internaute en train de consulter l’état de son compte en banque en ligne, nous raconte Klein. Il s’authentifie normalement, après avoir vérifié la solidité de sa session SSL, la date fraîcheur et la qualité du certificat SHA1 échangé… et muse, parallèlement, sur d’autres sites Web. Soudain, un « popup » aux armes de sa banque s’affiche. Soit pour réclamer une nouvelle authentification après expiration d’une session trop longtemps inactive, soit pour inviter le client à remplir une enquête de satisfaction. Rien de très inquiétant au contraire, puisque l’usager sait pertinemment que ces messages ne peuvent provenir que de sa propre banque. Mais est-ce bien le cas ?
Pas forcément, nous explique le chercheur. Un défaut du moteur JavaScript commun à tous les navigateurs (Internet Explorer, Firefox, Safari, Chrome) permet à un site Web de vérifier si un utilisateur est, à un moment précis, logué sur un autre site Web. Le reste est simple à imaginer. Il suffit d’imaginer compromettre un site marchand ou d’information réputé et souvent consulté. Ledit site possède une liste précise d’organismes financiers-cibles et une panoplie de « popup » adaptés à chaque situation. Et ce n’est que lorsque se présentera un visiteur arborant précisément ce « drapeau » JavaScript très précis que l’attaque sera lancée.
La probabilité de tomber sur un internaute « multitâches » consultant très précisément le site d’information compromis est faible. Mais est-il aussi faible que le taux de réponse aux courriels d’incitation d’une attaque en phishing ? En outre, l’attaque n’est active –donc décelable- que dans cette configuration exceptionnelle. Le reste du temps, il ne se passe rien, si ce n’est un dialogue très anodin de vérification JavaScript. Enfin, ajoutant que la victime étant psychologiquement réconfortée par le bon déroulement de sa première session d’authentification, les chances de voir l’attaque psychologique couronnée de succès sont excessivement grandes… pour ne pas dire absolues.