Hameçonnage progressif : comment les PWA peuvent être utilisées pour voler les mots de passe

Un chercheur en sécurité connu sous le nom de mr.d0x a publié un article détaillant une nouvelle technique pouvant être utilisée pour le phishing et potentiellement pour d’autres activités malveillantes. La technique utilise des applications Web dites évolutives (PWA). Dans cet article, nous expliquons ce que sont ces applications, pourquoi elles peuvent être dangereuses, comment les agresseurs peuvent les utiliser à leurs propres fins et comment se protéger contre cette menace.

Que sont les applications Web évolutives ?

Les applications Web évolutives sont des applications développées à l’aide des technologies du Web. Il s’agit essentiellement de sites Internet qui ressemblent et fonctionnent comme des applications natives installées sur votre système d’exploitation.

L’idée générale est semblable aux applications construites sur l’environnement Electron, avec une différence majeure. Les applications Electron se présentent sous la forme d’un « sandwich » se composant d’un site Internet (la garniture) et d’un navigateur (le pain) dédié au fonctionnement de ce site ; cela signifie que chaque application Electron dispose d’un navigateur intégré. En revanche, les PWA utilisent le moteur du navigateur déjà installé sur le système de l’utilisateur pour afficher le même site Internet, comme un sandwich sans le pain.

Tous les navigateurs modernes prennent en charge les PWA, Google Chrome et les navigateurs basés sur Chromium (y compris le navigateur Microsoft Edge fourni avec Windows) offrant la mise en œuvre la plus complète.

L’installation d’une PWA (si le site Internet la prend en charge) est très simple. Il suffit de cliquer sur un bouton discret dans la barre d’adresse du navigateur et de confirmer l’installation. Voici comment procéder, en prenant pour exemple la PWA Google Drive :

L’installation des PWA ne demande que deux clics

Après cela, la PWA apparaît presque instantanément sur votre système, ressemblant à une vraie application, avec une icône, sa propre fenêtre et tous les autres attributs d’un programme à part entière. La fenêtre de PWA ne permet pas de discerner facilement s’il s’agit réellement d’un navigateur qui affiche un site Internet.

La PWA Google Drive ressemble à une véritable application native

Hameçonnage basé sur les PWA

Une différence essentielle entre une PWA et le même site Internet ouvert dans un navigateur est évidente dans la capture d’écran ci-dessus : la fenêtre PWA ne comporte pas de barre d’adresse. Cette fonctionnalité constitue la base de la méthode de phishing abordée dans cet article.

En l’absence de barre d’adresse dans la fenêtre, les agresseurs peuvent tout simplement dessiner la leur, affichant une URL qui répond à leurs objectifs de phishing. Par exemple, celle-ci :

Avec une PWA, vous pouvez imiter de manière convaincante n’importe quel site, par exemple, la page de connexion d’un compte Microsoft. Source

Les agresseurs peuvent améliorer encore la tromperie en donnant à la PWA une icône familière.

Il ne reste plus qu’à convaincre la victime d’installer la PWA. Cependant, cela peut se faire facilement en utilisant un langage persuasif et des éléments d’interface intelligemment conçus.

Il est important de noter que dans la boîte de dialogue d’installation de la PWA, le nom de l’application affiché peut être tout ce que souhaite l’agresseur. La véritable origine n’est révélée que par l’adresse du site Internet dans la deuxième ligne, qui est moins visible :

La boîte de dialogue d’installation d’une PWA malveillante affiche un nom qui facilite les objectifs de l’agresseur. Source

Le processus de vol de mot de passe à l’aide d’une PWA se déroule généralement comme suit :

• La victime ouvre un site Internet malveillant.
• Le site Internet parvient à convaincre la victime d’installer la PWA.
• L’installation a lieu presque instantanément et la fenêtre PWA s’ouvre.
• Une page de phishing, avec une fausse barre d’adresse affichant une URL d’apparence légitime, s’ouvre dans la fenêtre de la PWA.
• La victime saisit ses identifiants dans le formulaire, les transmettant ainsi directement aux agresseurs.

À quoi ressemble le phishing à l’aide d’une PWA malveillante ? Source

Bien sûr, convaincre la victime d’installer une application native est tout aussi simple, à quelques nuances près. Les PWA s’installent beaucoup plus rapidement et nécessitent bien moins d’interaction avec l’utilisateur que les applications traditionnelles.

De plus, le développement des PWA est plus simple, car il s’agit essentiellement de sites de phishing, avec des améliorations mineures. Ces facteurs font des PWA malveillantes un outil puissant pour les cybercriminels.

Comment se protéger du phishing basé sur le PWA ?

Soit dit en passant, le même mr.d0x avait déjà été reconnu pour avoir conçu la technique de phishing du Browser-in-the-Browser, dont nous avons parlé il y a quelques années. Depuis lors, plusieurs cas d’agresseurs employant cette technique ont été signalés non seulement pour voler les mots de passe de comptes, mais également pour propager un ransomware.

Compte tenu de ce précédent, il est fort probable que les cybercriminels adoptent des PWA malveillantes et trouvent de nouveaux moyens d’exploiter cette technique au-delà du phishing.

Que pouvez-vous faire pour vous protéger contre cette menace ?

• Soyez prudent lorsque vous rencontrez des PWA et évitez de les installer à partir de sites Web suspects.
• Vérifiez périodiquement la liste des applications PWA installées sur votre système. Par exemple, dans Google Chrome, saisissez<code>chrome://apps</code>dans la barre d’adresse pour consulter et gérer les PWA installées.

Pour consulter ou supprimer les PWA installées dans Google Chrome, saisissez chrome://apps dans la barre d’adresse

• Utilisez une solution de sécurité fiable avec protection contre le phishing et les sites frauduleux, qui vous avertira dans les meilleurs délais des dangers.