navigateurs mobiles
Produits et Services PRODUITS & SERVICES

Des navigateurs mobiles protégés par Google étaient vulnérables au phishing depuis 1 an !

Il semblerait que les navigateurs mobiles protégés par le mécanisme anti-phishing de Google n’aient détecté aucun site de phishing entre mi-2017 et fin 2018 !

Vous pensiez vraiment que votre navigateur mobile vous protégeait des attaques de phishing ?

Un projet de recherche appelé PhishFarm suggère le contraire, affirmant que les navigateurs mobiles protégés par le mécanisme anti-phishing de Google n’ont détecté aucun site de phishing entre mi-2017 et fin 2018.

L’étude a été réalisée par le Laboratory of Security Engineering for Future Computing (SEFCOM), qui fait partie du Center for Cybersecurity and Digital Forensics de l’Université de l’état de l’Arizona. Le groupe de travail anti-phishing et PayPal ont également soutenu les travaux.

Les éditeurs de navigateurs identifient les sites de phishing et les ajoutent généralement à une liste de blocage que les navigateurs utiliseront ensuite pour vous empêcher d’accéder à ces sites. Google Safe Browsing (GSB) est l’une de ces listes de blocage et protège non seulement le navigateur Chrome de Google, mais également Safari et Firefox. Microsoft a sa propre liste de blocage, appelée SmartScreen, protégeant ses navigateurs IE et Edge.

Les techniques de camouflage

En utilisant des techniques de camouflage pour cacher leurs sites à certains internautes, les phisheurs espèrent empêcher leurs sites de se retrouver dans ces listes de blocage. L’étude académique montre que ces techniques de dissimulation ont fonctionné. Elle a également révélé une faille massive dans la protection pour navigateurs mobiles du système GSB qui existait depuis plus d’un an.

Les chercheurs ont créé 2 380 sites de phishing sur de nouveaux domaines .com. Ils ont utilisé l’une des cinq techniques de dissimulation pour chaque site, basée sur les techniques utilisées par de véritables kits de phishing, ainsi qu’un groupe de contrôle n’utilisant aucun masquage.

Les techniques utilisées étaient censées autoriser les seuls groupes suivants :

  • A – Groupe de contrôle. Pas de masquage.
  • B – Appareils Android ou iOS.
  • C – Utilisateurs américains utilisant des navigateurs protégés par GSB (Chrome, Firefox ou Safari) sous Windows, Mac ou Linux.
  • D – Utilisateurs non américains utilisant des navigateurs protégés par GSB (Chrome, Firefox ou Safari) sous Windows, Mac ou Linux.
  • E – Entités non sécurisées (adresses IP et noms d’hôte non associés à une entité de sécurité).
  • F – Navigateurs web utilisant JavaScript (tentative de filtrage des crawlers web).

Ils ont testé ces techniques contre 10 mécanismes anti-phishing proposés par de grandes entreprises et les ont jugées insuffisantes. Seules 23% des URL de phishing crawlées ont été bloquées par au moins un navigateur, ont indiqué les chercheurs.

Ils ont également constaté une faille inquiétante dans la protection des navigateurs mobiles :

Nous avons identifié une faille béante dans la protection des principaux navigateurs web mobiles : de manière inquiétante, Chrome, Safari et Firefox pour mobiles n’ont montré aucun avertissement de type blacklist entre mi-2017 et fin 2018, malgré la présence de paramètres de sécurité impliquant la protection par liste noire (blacklist).  

Les versions mobiles de Chrome, Firefox et Safari n’ont réussi à identifier aucun des sites de phishing test protégés avec les filtres E et F, et n’ont même pas identifié ces mêmes sites quand ils étaient non masqués (groupe A), expliquent-ils. Le problème était lié à une nouvelle interface de programmation d’applications mobiles (API) de Google Safe Browser, censée optimiser l’utilisation des données mais qui, en réalité, a endommagé la protection des navigateurs mobiles.

Les chercheurs sont particulièrement préoccupés par cette situation, compte tenu de l’importance croissante du trafic mobile sur le web.

Microsoft Edge, protégé par la technologie SmartScreen, était le navigateur le plus performant au cours des tests menés dans le cadre de PhishFarm, selon l’article. En effet, il s’agissait de la seule liste de blocage anti-phishing native qui utilisait des méthodes heuristiques pour évaluer de nouvelles URL à la volée, à la recherche d’indicateurs tels que des noms de domaine trompeurs.

L’idéal serait que la liste de blocage de chaque navigateur soit partagée entre éditeurs, ont ajouté les chercheurs. GSB et SmartScreen ne partagent pas actuellement leurs données. Selon le rapport, des centres d’échange tiers tels que Anti-Phishing Working Group (APWG) et PhishTank ont ​​fourni une protection plus standardisée à tous les navigateurs, mais leur actualité et leur exactitude n’étaient pas aussi efficaces que les listes de blocage contrôlées directement par les éditeurs de navigateurs :

Une coopération plus étroite pourrait ainsi non seulement accélérer [le processus de blocage], mais également garantir le blocage universel des sites malveillants.  

Les chercheurs ont depuis travaillé avec Google pour résoudre le problème afin que les navigateurs mobiles soient désormais mieux protégés. Néanmoins, la conclusion est que pour disposer de la meilleure protection possible, vous devrez sans doute utiliser une combinaison de systèmes provenant de plusieurs éditeurs différents, sans oublier une bonne dose de bon sens, à l’ancienne. Réfléchissez toujours à deux fois avant de cliquer sur un lien et utilisez idéalement des marque-pages ou entrez le lien manuellement lorsque vous visitez des services en ligne.


Billet inspiré de Google-protected mobile browsers were open to phishing for over a year, sur Sophos nakedsecurity.