Un bug HTML5 exploité par les arnaques au support technique
Publié par Christophe Lagane le | Mis à jour le
Quelques lignes de code suffisent à mettre à plat les navigateurs et afficher un message invitant à appeler un faux support technique.
Une nouvelle technique d'arnaque aux (faux) supports techniques circule sur la toile. Celle-ci vise à exploiter un bug propre à HTML5, le langage propre à la présentation des pages web dans les navigateurs, pour faire croire à l'internaute que son ordinateur est victime d'un malware et l'inciter à contacter un supposé service technique qui le sortira de ce mauvais pas. L'arnaque est renforcée alors que le contenu de l'alerte ressemble à s'y méprendre à un message Windows.
La technique s'inspire d'une faille identifiée en juillet 2014 pour abuser une fonction d'archivage de l'historique de navigation (la méthode 'history.pushState()'). Exploitée, cette faille permet de mettre à plat les navigateurs Chrome, Firefox et Safari, y compris leurs versions mobiles, mais sans les faire complètement planter. Ce que l'utilisateur tendra cependant à croire en regard du manque de réaction de son butineur.
Un faux message Windows
« C'est particulièrement important parce que les escrocs veulent vraiment que leurs victimes puisse voir des instructions à l'écran, et en particulier le numéro de téléphone à appeler pour réparer leur ordinateur », indique Jérôme Segura, chercheur en sécurité chez Malwarebytes. L'arnaque est d'autant plus réussie que la page qui s'affiche alors pour inviter l'utilisateur à décrocher son téléphone est taillée aux couleurs de Windows laissant croire qu'elle émane bien de l'éditeur de Redmond.
Ce qui est évidemment faux. Si l'internaute tombe dans le panneau et se met en liaison avec le service technique en question, il risque d'être amené à accorder l'accès de son PC à l'escroc (en installant un logiciel de prise de contrôle à distance notamment), qui pourra alors bloquer la machine et réclamer une rançon pour la débloquer.
Quelques lignes de code
Jusqu'à présent, les tentatives d'arnaque au support technique se diffusaient par e-mail ou à travers des publicités vérolées qui font surgir des messages d'alerte de malware aux allures de fenêtres Windows. Avec la nouvelle méthode découverte par Jérôme Segura, quelques lignes de code dans la page suffisent à mettre en oeuvre la tentative d'arnaque (voir capture ci-contre). Tout le talent des arnaqueurs résidera donc dans leur capacité à amener l'internaute à visiter une page web contenant ce code infectieux.
« Selon la configuration de votre ordinateur, vous pouvez ou pas être en mesure de lancer le Gestionnaire des tâches pour tuer le processus du navigateur, commente l'expert. Auquel cas, votre système sera mis à genoux et un redémarrage complet peut s'avérer être la seule option disponible. » Dans tous les cas, il ne faut évidemment pas se jeter sur son téléphone pour appeler le numéro affiché à l'écran. Même si le bug est ancien, Jérôme Segura déclare avoir alerté l'équipe Google Safebrowsing car l'exploitation effective de l'arnaque rend urgente la diffusion d'un correctif. Google est particulièrement impliqué alors que Chrome est le navigateur le plus utilisé sur la toile (55% du marché selon NetMarketShare).
Lire également
La France peu sensible aux arnaques des faux supports techniques, selon Microsoft
Windows 10 : attention aux arnaques des mises à jour
Le FBI alerte sur l'explosion de la fraude au président