Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

« Man-in-the-browser » (MITB, MitB, MIB, MiB, « Homme dans le navigateur ») est une forme de menace/attaque sur le Web que l'on nomme ainsi par rapprochement avec la menace nommée « Man-in-the-midle » (MITM, « Homme du millieu »).

Le mécanisme est simple : un proxy (dispositif logiciel ou matériel mandataire surveillant les échanges entre deux hôtes), malveillant nativement ou hacké/compromis, modifie le contenu :

  • reçu des pages Web visitées
  • envoyé depuis des formulaires totalement légitimes depuis des services financiers réels ou des institutions financières réelles

Les contenus modifiés portent, essentiellement, sur ceux rémunérateurs en modifiant à la volée le contenu d'une transaction ou en insérant des transactions forgées supplémentaires.

Tout cela est totalement invisible/insoupçonnable à l'utilisateur et à l'hôte.

Une attaque « Man-in-the-browser » (MitB) réussira indépendamment du fait que des mécanismes de sécurité tels que SSL/PKI (infrastructure à clés publiques) et/ou des solutions d'authentification à deux ou trois facteurs soient en place.

Une attaque « Man-in-the-browser » (MitB) peut être contrée en utilisant la vérification « hors bande » de la transaction (double vérification sur un autre moyen de communication comme un SMS avec code de sécurité à reproduire, ou appel vocal).

La double vérification par SMS peut être annulée par une infection malveillante « Man-in-the-Mobile » (MitMo) sur le téléphone mobile.

Se méfier, globalement, de toutes les applications disponibles sur les « stores » (iTunes Store (Apple films, musique, séries TV), App Store (Apple applications), Play Store (Google applications), Windows Phone Store, Amazon Appstore, BlackBerry World, etc.) qui souhaitent avoir l'accès à quoi que ce soit de vos données, dont les carnets d'adresses, les contacts, la navigation, la géolocalisation, les mots de passe, etc.). Refusez systématiquement toute application qui prétendrait avoir besoin d'accéder à votre numéro IMEI car ceci permettrait de créer très facilement une attaque « Man-in-the-Mobile » (MitMo) sur le téléphone mobile.

Il y a nécessité d'avoir des solutions de sécurité sur les smartphones. Les malveillances peuvent être détectées et éradiquées par un antivirus appuyé par un antimalware (Kaspersky ou Bitdefender, l'un comme l'autre appuyé avec Malwarebytes).

Une attaque connexe plus simple est le boy-in-the-browser (BitB, BITB).

La majorité des professionnels des services financiers participant à une enquête ont considéré que « Man-in-the-Mobile » (MitMo) était la plus grande menace pour les services bancaires en ligne ainsi que Microsoft Outlook.

Origine partielle Wikipedia