2

Au mois de janvier, une nouvelle campagne de phishing (hameçonnage) a été repérée sur le Net par Akamai. Une particularité lui permet de passer sous les radars et de tromper plus facilement les internautes : les pages contrefaites se cachent derrière Google Traduction.

Capture d'écran © Akamai.

Les campagnes de phishing, ou en bon français hameçonnage, n'ont de nos jours plus rien de rare. Au quotidien, des masses considérables de courriels sont envoyées dans le seul but de berner les internautes et de leur soutirer leurs identifiants pour tel ou tel service, le plus souvent au moyen d'un lien vers une fausse page d'authentification.

Le 7 janvier dernier, Larry Cashdollar, spécialiste en sécurité pour le compte d'Akamai, a reçu un message semblant provenir de Google et l'alertant d'une connexion à son compte depuis un nouvel appareil sous Windows. En bon expert, il ne s'est pas empressé de cliquer sur le bouton l'invitant à contrôler l'activité dudit compte sur son mobile ; il est passé sur son ordinateur pour d'abord examiner le courriel de plus près. L'adresse d'envoi, "facebook_secur@hotmail.com", a immédiatement consolidé ses soupçons. En dépit d'une contrefaçon manifeste, il a néanmoins suivi le lien suggéré. Il a découvert à cette occasion un intéressant tour de passe-passe.

Un vrai Google peut en cacher un faux

En effet, si le lien mène à une fausse page d'authentification, copie de l'ancienne mouture de Google, cette imitation dispose d'un argument surprenant : elle s'affiche comme bel et bien hébergée sur le domaine https de Google. Comment est-ce possible ? C'est simple : il s'agit en fait d'un lien Google Translate (ou Google Traduction) effectuant une traduction automatique de la page. Cette manipulation a entre autres pour avantage de tromper les mécanismes de sécurité, qui n'identifient pas la source de danger. Sur desktop, le résultat est peu probant en raison du design du service de traduction de Google, qui rend l'identité du vrai domaine bien visible (cf. illustration ci-dessus). Sur mobile, en revanche, avec notamment une URL en bonne partie cachée, la supercherie paraît nettement plus crédible.

Comme c'est presque toujours le cas, si la victime se fait avoir et tente de se connecter à son compte Google, le couple identifiant + mot de passe est transmis à l'auteur de cette campagne de phishing. À ce stade, on pourrait s'attendre à ce que le pirate se contente de son butin, mais celui-ci, en particulier, semble être assez joueur. Lorsque les identifiants Google ont été enregistrés, il déclenche en effet une seconde phase : il tente de doubler la mise en demandant une connexion à Facebook. Bien évidemment, il s'agit là aussi d'une fausse page d'authentification. Mais dans ce cas, la manipulation est un peu plus grossière, le domaine n'étant pas le bon et le modèle de page utilisé accusant quelques années de retard.