Avec plus de trois milliards d'utilisateurs actifs, le réseau social de Meta reste une cible de choix pour les pirates informatiques cherchant à diffuser des escroqueries à grande échelle. Selon les chercheurs en sécurité de Trellix, une technique d'hameçonnage particulièrement ingénieuse, apparue en 2022, connaît une forte recrudescence. Connue sous le nom de « Browser-in-the-Browser » (BiTB), ou « navigateur dans le navigateur », elle crée une illusion presque parfaite pour abuser de la confiance des internautes.
Comment fonctionne cette attaque par « navigateur dans le navigateur » ?
L'attaque BiTB représente une escalade majeure dans les stratégies de phishing. Contrairement aux pages frauduleuses classiques, qui se contentent d'imiter une page de connexion, cette méthode va beaucoup plus loin. Un script malveillant affiche une fausse fenêtre de connexion qui semble être un pop-up parfaitement légitime généré par votre propre navigateur pour Facebook, abusant de votre confiance habituelle.
Cette fenêtre factice est en réalité un simple élément HTML, un cadre dessiné à l'intérieur même de la page web que vous consultez. Pour parfaire l'illusion, les pirates y ajoutent une fausse barre de titre, une fausse URL et même de faux boutons. Le seul détail qui trahit la supercherie est que cette fenêtre ne peut jamais être déplacée en dehors de l'onglet principal du navigateur, contrairement à une véritable fenêtre indépendante.
Quel est le scénario utilisé pour piéger les utilisateurs ?
Le processus commence généralement par la réception d'un e-mail, d'un message ou d'une notification prétendant provenir de Meta ou d'un cabinet d'avocats spécialisé dans les droits d'auteur. Le message, souvent alarmiste, évoque une prétendue violation ou un problème de sécurité sur votre compte et contient un lien vers une page de « recours » ou de « vérification », utilisant souvent des raccourcisseurs d'URL pour masquer la destination finale.
En cliquant, la victime atterrit sur une page qui semble tout à fait officielle, parfois hébergée sur des services cloud légitimes comme Netlify ou Vercel pour contourner les filtres de sécurité traditionnels. C'est sur cette page que la fausse fenêtre de connexion apparaît, vous demandant de saisir votre adresse e-mail et votre mot de passe pour résoudre le supposé problème. Les identifiants sont alors immédiatement envoyés aux pirates.
Comment se protéger efficacement contre cette menace ?
La première ligne de défense reste la vigilance. Ne cliquez jamais directement sur les liens contenus dans des messages inattendus ou suspects, même s'ils semblent provenir d'une source officielle. En cas d'alerte, ouvrez un nouvel onglet et tapez vous-même l'adresse du site pour vous connecter manuellement et vérifier la notification dans votre compte.
Si une fenêtre de connexion suspecte apparaît, effectuez un test simple : essayez de la faire glisser en dehors de la fenêtre principale du navigateur. Une véritable fenêtre pop-up peut être déplacée librement, tandis qu'une fausse restera confinée à l'onglet. Surtout, la mesure de sécurité la plus robuste demeure l'activation de l'authentification à deux facteurs. Elle constitue une barrière presque infranchissable, même si les pirates parviennent à voler votre mot de passe.
