Attaques de type « Browser-in-the-Middle » : explications et comment les éviter

  • Qu'est-ce que BitM et en quoi diffère-t-il de MitM, MITB et BitB ?
  • Comment les jetons et les sessions sont capturés même avec MFA actif
  • Signes pour détecter les fenêtres BitB et les tactiques de phishing
  • Contrôles techniques et habitudes pour atténuer et réagir
Joaquin Romero

Minutes 11

Comment éviter le navigateur intermédiaire

Les attaques basées sur l’ingénierie sociale sont, aujourd’hui, celles qui causent le plus de maux de tête aux entreprises et aux utilisateurs. Le comportement humain dans de nouveaux scénarios est imprévisible., et cette curiosité combinée à la précipitation ouvre la voie à des tactiques qui, sans toucher à votre réseau ni à votre ordinateur, finissent par voler des sessions et des données sensibles. Parmi ces attaques, les attaques dites « Browser-in-the-Middle » (BIM) se distinguent par leur simplicité et leur efficacité opérationnelles. Ils imitent les interfaces légitimes et prennent le contrôle de ce que vous faites à partir du navigateur lui-même., capturant les informations d'identification, les jetons d'accès et même les codes d'authentification, avec des pages clonées qui semblent réelles jusqu'au dernier pixel.

Qu'est-ce qu'une attaque de type Browser-in-the-Middle (BitM) ?

Une attaque de type Browser-in-the-Middle permet à un attaquant de contrôler, en temps réel, la session d'un utilisateur via le site Web qu'il utilise. Pas besoin de compromettre votre appareil ou votre réseau local:Il utilise un environnement Web transparent qui agit comme intermédiaire entre la victime et le service légitime.

Cet intermédiaire est une page clonée, aussi fiable que l'original, qui canalise les interactions des utilisateurs. Dès que vous saisissez votre nom d'utilisateur, votre mot de passe ou approuvez votre MFA, l'attaquant peut capturer des cookies, des jetons JWT, des jetons OAuth et d'autres artefacts d'authentification de session.

Principales différences avec MitM, MITB et BitB

Le MitM classique fonctionne au niveau du réseau : il intercepte les paquets entre le client et le serveur en utilisant des techniques telles que l'usurpation d'identité ARP ou des certificats malveillants. BitM, en revanche, agit au niveau de la couche navigateur, via de fausses interfaces qui trompent l’œil et capturent la session sans toucher le canal de transport.

IA d'art algorithmique
Article connexe:
Algorithmic Art : Générateurs d'images pour Android

MITB, Man-in-the-Browser, est une autre variante bien connue dans laquelle un cheval de Troie s'intègre dans le navigateur de la victime et manipule les transactions. Dans MITB, l'attaquant compromet le navigateur avec un logiciel malveillant et utilise C2 pour activer des modèles spécifiques, par exemple la banque en ligne, ce qui diffère de BitM, qui s'appuie sur un navigateur distant transparent.

BitB, Browser-in-the-Browser, est une technique de phishing visuel. Simule une fenêtre contextuelle de connexion dans la page elle-même, en particulier pour les startups avec Google, Facebook ou similaires, sans passer par un domaine d'authentification légitime.

Caractéristiques différentielles du BitM

Qu'est-ce que le navigateur du milieu ?

  • Contrôle du navigateur: ne nécessite pas l'installation de logiciels malveillants sur l'ordinateur de la victime.
  • Interception visuelle et fonctionnelle:L'attaquant voit et manipule ce que fait l'utilisateur en temps réel.
  • Capture de session et de jeton:Les cookies, les jetons JWT et OAuth sont accessibles à l'attaquant.
  • Évasion du MFA- Si l'utilisateur s'est déjà authentifié, la session active peut être réutilisée.
  • Haute fidélité:Les pages clonées sont presque impossibles à distinguer des originales.

Comment un BitM est exécuté

Le point de départ est généralement un lien malveillant envoyé par e-mail, SMS ou sur les réseaux sociaux. Un clic mène à une page clonée qui agit comme un proxy visuel entre l'utilisateur et le service réel, généralement hébergé dans un conteneur contrôlé par l'attaquant.

Des campagnes ont été observées qui insèrent des liens dans des vidéos sur des plateformes sociales pour rediriger vers de faux portails bancaires ou de messagerie Web. En saisissant des informations d'identification et des jetons de facteur supplémentaires, sont instantanément capturés et réutilisés pour détourner la session.

Phases typiques de l'attaque

  1. L'hameçonnage:La victime accède au serveur de l'attaquant à partir d'un lien hypertexte apparemment légitime et authentifie une application Web contrôlée.
  2. Navigateur transparent:À l’aide de JavaScript et d’un proxy, la victime exploite un navigateur distant qui enregistre les frappes au clavier et les flux de session.
  3. Abus d'application:Une fois à l'intérieur, l'attaquant réutilise la session pour des actions non autorisées telles que des changements de mot de passe ou des transferts.

Jetons de session, cookies et la réalité de l'authentification multifacteur

Une fois que vous avez réussi l'authentification multifacteur, les sites émettent des jetons de session qui vous permettent de continuer sans revérifier votre identité. Si ce jeton est volé, la session est volée., donc l'AMF perd son effet pour ce contexte spécifique.

Dans les architectures BitM, les jetons et les cookies peuvent être capturés en temps réel et envoyés aux serveurs de l'attaquant. Cela réduit les frictions opérationnelles de l’adversaire., qui fournit un accès rapide et nécessitant une préparation minimale aux comptes internes et aux tableaux de bord.

De plus, certains flux OAuth sont ciblés de manière préférentielle, car ils permettent un accès croisé à plusieurs services. Les cookies avec les indicateurs Secure et HttpOnly rendent l'accès par les scripts difficile, mais si l'attaquant agit comme un intermédiaire du navigateur, la réutilisation de session est toujours viable.

Scénarios de risque et surfaces d'attaque

Les points d’accès Wi-Fi publics ou mal configurés constituent un pôle d’attraction pour ce type de campagnes. Les réseaux ouverts facilitent l'usurpation d'identité SSID et des connexions automatiques par défaut, qui conduisent à de faux portails et à des flux contrôlés.

Dans les réseaux locaux d’entreprise, le danger existe si un attaquant parvient à infiltrer le LAN. À partir de là, vous pouvez orchestrer les redirections et manipuler les résolutions DNS. pour diriger l'utilisateur vers des pages miroirs sans éveiller les soupçons.

Les logiciels obsolètes sont également un vecteur. Navigateurs et extensions présentant des problèmes connus autoriser les injections de scripts, les redirections silencieuses ou les escalades de privilèges dans le contexte du navigateur.

BitB ou Browser-in-the-Browser : phishing par fenêtre intégrée

Avec BitB, l’attaquant recrée une fenêtre contextuelle de connexion au sein même de la page. L’objectif est de faire en sorte que cela ressemble à une fenêtre d’accès tierce typique., mais il s'agit d'un rendu intégré sans quitter le domaine malveillant.

  • Panneaux de signalisation: : aucune nouvelle fenêtre n'apparaît dans la barre des tâches, la boîte ne permet pas le redimensionnement, la barre d'adresse n'est pas modifiable.
  • Étrange persistance- Si vous réduisez la fenêtre principale et que la fenêtre contextuelle disparaît avec elle, ce n'est pas une vraie fenêtre.
  • Comportement de traînée:Lorsque vous déplacez la fenêtre contextuelle hors de la bordure du navigateur, elle reste bloquée à l'intérieur du navigateur principal.

Dans ces scénarios, saisir un nom d’utilisateur et un mot de passe équivaut à les transmettre au serveur d’un attaquant. Une redirection ultérieure vers la page officielle ne répare pas les dommages., car les informations d’identification ont déjà été exfiltrées.

MITB ou Man-in-the-Browser : des chevaux de Troie qui détournent votre navigateur

MITB est une évolution du MitM classique appliqué spécifiquement au navigateur de l'utilisateur. Tout commence par une infection par un cheval de Troie qui communique avec un serveur de commande et de contrôle pour télécharger des configurations cibles, souvent des portails bancaires.

Une fois actif, le cheval de Troie surveille le trafic des utilisateurs et, après avoir détecté un site ciblé, insère de faux écrans ou modifie les transactions. Comme l'accès se fait sur le site réel et après connexion, même les mots de passe à usage unique peut être insuffisante pour empêcher de nouvelles manipulations.

Des incidents dans le secteur bancaire en ligne impliquant cette approche ont été historiquement documentés, avec une notoriété publique au cours de la dernière décennie. Les outils MITB ont été étendus à davantage de secteurs et sont relativement accessibles sur les forums underground.

Bonnes pratiques pour les utilisateurs

Avant de saisir vos informations d’identification ou bancaires, regardez attentivement l’URL. Évitez les liens raccourcis ou provenant de sources qui n’inspirent pas confiance. et saisissez manuellement le domaine en cas de doute.

Activez toujours la vérification en deux étapes lorsque cela est possible. Bien que BitM puisse réutiliser les sessions, cela ajoute des frictions à l'attaquant complique le succès si vous ne capturez pas le jeton à temps.

Méfiez-vous des réseaux Wi-Fi publics pour les opérations sensibles. Si vous n’avez pas d’autre option, utilisez un VPN de confiance., évitez les services critiques et n'utilisez jamais de VPN gratuits provenant de sources douteuses.

Maintenez votre système d’exploitation et votre navigateur à jour et limitez les extensions au minimum. Installez des solutions de sécurité et exécutez-les avec des signatures mises à jour pour minimiser l'exposition aux logiciels malveillants et aux logiciels publicitaires.

Un gestionnaire de mots de passe vous aide à éviter de tomber dans le piège des faux sites : Si l'extension ne propose pas de saisie semi-automatique sur un formulaire suspect, est un indice que vous n'êtes pas sur le domaine légitime.

Contrôles techniques pour les organisations

Boostez vos sessions avec des jetons de courte durée et une rotation dynamique. L'expiration rapide réduit la fenêtre d'abus si un jeton est volé.

Envisagez l’isolation du navigateur pour les sites à risque, qu’il s’agisse de conteneurs locaux ou de services distants. Cette couche limite l'impact des pages malveillantes et sépare le contenu potentiellement dangereux de l'environnement de travail.

Mettre en œuvre UEBA pour détecter les anomalies comportementales et SIEM pour corréler les événements. Alertes pour les connexions provenant d'emplacements atypiques ou de changements d'appareil aider à couper les intrusions chaudes.

Authentificateurs
Article connexe:
Les meilleurs générateurs TOTP et applications d'authentification en deux étapes

Adoptez les principes Zero Trust : un accès basé sur le contexte, pas sur une confiance implicite. Vérification continue, segmentation et moindre privilège rendre la vie difficile à l’attaquant qui a volé une session.

Chiffrez les communications avec HTTPS sur tous les services et appliquez HSTS. Sur les terminaux, privilégiez le renforcement, la mise à jour corrective et l'antivirus, et protège le LAN avec des pare-feu, des IDS et des IPS sur les passerelles UTM.

Surveillez les sessions actives et activez la révocation forcée en cas de suspicion. Enregistrez et auditez les modifications apportées aux informations d'identification, à l'authentification multifacteur et aux appareils vous permet de réagir rapidement aux détournements de session.

Politiques de mot de passe et MFA

Les mots de passe restent un élément essentiel de l’authentification multifacteur, malgré les nouvelles tactiques. Des politiques robustes au sein des conseils d'administration des entreprises avec une vérification par rapport aux listes de clés divulguées, ils placent la barre plus haut.

Il existe des solutions commerciales qui combinent la gestion des mots de passe Active Directory avec une MFA haute sécurité. Ce type d'outil renforce le moment de connexion et l'après connexion, réduisant ainsi le risque d’utiliser des informations d’identification faibles ou compromises.

Extensions, confidentialité et détection visuelle

Les extensions de réputation qui bloquent les domaines dangereux fournissent une couche utile dans le navigateur. Ajustez la confidentialité pour minimiser les données exposées par défaut et désactiver les autorisations inutiles sur les extensions.

Pour le cas spécifique de BitB, rappelez-vous les tests manuels : essayez de redimensionner la fenêtre contextuelle, faites-la glisser hors du bord et voyez si cela persiste lors de la réduction de la fenêtre principale.

Infrastructure, cryptage et réseaux

Le chiffrement de bout en bout est la base, mais pas la panacée, contre BitM. Protège le courrier, le DNS, la messagerie et les points d'accès pour rendre le saut initial vers une fausse page plus difficile à orchestrer.

Sur les réseaux d’entreprise, séparez les invités du réseau interne et appliquez une authentification forte au Wi-Fi. WPA2 ou supérieur avec des mots de passe forts, la segmentation et les listes de contrôle d'accès réduisent la surface d'attaque.

Tests et réponses

Exécutez des exercices trimestriels Red Team qui incluent des scénarios de piratage de navigateur. Ces tests révèlent des lacunes dans les processus et les contrôles qui n'apparaissent pas dans les audits à froid.

Définit les procédures de révocation de session, de réinitialisation des informations d'identification et de notification de l'utilisateur. Plus tôt un jeton volé est invalidé, plus l’ampleur de l’incident est petite.

Cadre et vulnérabilités

Des catalogues tels que CAPEC-701 documentent le modèle Browser-in-the-Middle. Restez informé des vulnérabilités des navigateurs et des extensions Il est également essentiel de fermer les portes aux injections et aux redirections.

Des exemples de failles récentes permettant l’exécution de scripts ou le contournement de validations de sources ont été cités dans la littérature technique. Des références telles que CVE-2025-29966 et CVE-2025-29967 ont été mentionnées. dans l'analyse des vecteurs qui facilitent la compromission du contexte du navigateur.

Services de soutien et de formation

La sensibilisation est un pilier à ne pas négliger. Programmes de simulation et de formation pratique en matière d'hameçonnage réduire le taux de clics sur les liens malveillants et améliorer la détection précoce.

Pour les utilisateurs en Espagne, la Cybersecurity Helpline 017 offre des conseils gratuits et confidentiels. Consulter en cas de doute peut prévenir de plus grands maux lorsqu'un comportement suspect est détecté dans le navigateur.

Cas et tendances observées

Des campagnes ont été observées pour diffuser des kits BitM via les réseaux sociaux populaires, y compris des liens intégrés pointant vers de faux sites Web. Le succès de ces campagnes repose sur la fidélité à l’interface et l’urgence psychologique. qu’ils provoquent chez la victime.

Les recherches menées par les équipes de renseignement sur les menaces ont documenté des détournements de session à grande échelle, avec un accent particulier sur les jetons d’application cloud. Lorsque le service légitime est fourni via le navigateur contrôlé par l'attaquant, il est difficile pour la victime de faire la distinction entre la copie et l’original.

Références et lectures recommandées

  • Ja1ir4m, Attaque du navigateur au milieu BitM : la tempête parfaite pour le piratage de navigateur. Medium. URL : medium.com
  • Hacker News : Des pirates informatiques utilisent des vidéos TikTok pour diffuser une boîte à outils d'attaque par navigateur intermédiaire. URL : thehackernews.com
  • The Hacker News, Comment les attaques de type « Browser-in-the-Middle » volent des sessions. URL : thehackernews.com
  • The Hacker News, Voici comment les pirates pourraient détourner vos cookies HTTPS. URL : thehackernews.com
  • Google Cloud Threat Intelligence, vol de session : navigateur intermédiaire. URL : cloud.google.com
  • CYPTD, attention aux attaques du navigateur du milieu. URL : cyptd.com
  • MITRE, CAPEC-701 : Attaque du navigateur du milieu. URL : capec.mitre.org
  • Boffo et Arfaoui, Attaque BitM de type Browser-in-the-Middle. URL : recherchegate.net
mot de passe sécurisé
Article connexe:
Pourquoi ajouter la lettre « ñ » à votre mot de passe renforce-t-il la sécurité numérique contre les cyberattaques ?

Le tableau dressé par BitM, MITB et BitB est clair : Les attaquants jouent de plus en plus sur le front du navigateur et de la perception., où la frontière entre le vrai et le faux s'estompe. Avec des habitudes prudentes, des contrôles techniques précis et une formation continue, il est parfaitement possible de réduire considérablement le risque de tomber dans ces pièges et de limiter les dégâts s'ils se produisent.