Le développeur Bilawal Hameed vient de découvrir une nouvelle vulnérabilité dans la balise <a> href. Des liens peuvent être modifiés par Javascript,  de telle façon que même l’utilisateur le plus attentif ne le verrait pas.

C’est un nouvel outil pour les phishers. Il peut être exploité par des pirates et faire croire à la victime qu’elle s’adresse à un site de confiance (site vente, administration, banque, réseau social etc) afin de lui récupérer des renseignements personnels.

Permettez-moi de vous montrer un exemple. Ce lien devrait vous amener à Facebook.

Résultat : vous êtes redirigé vers la page d’accueil de FunInformatique. Même en pensant la souris au-dessus du lien on voit le lien ciblé comme dans son exemple. Mais en cliquant dessus, on déclenche un évènement onclick qui sert à vous détourner vers une autre URL. (Sauf sur l’Opéra, où il semble avoir été fixé).

Pour mettre en pratique cette technique, il vous suffit de quelques lignes de code :

var links = document.links;
for(i in links) {
links[i].onclick = function(){
this.href = 'http://goo.gl/QWfZ7';
};
}

Hameed a déjà informé Mozilla et Google de sa découverte. Il n’a pas encore reçu de réponses de la part de Mozilla par contre Google travaille déjà sur un patch.

En attendant, vérifiez toujours l’adresse du site vers lequel on vous demande de cliquer afin d’éviter de tomber dans le phishing.

2 Commentaires

  1. Beruk

    Sous Chrome la redirection ne marche pas, mais sous Firefox elle fonctionne. Peut être est-ce dû à une extension, mais dans le doute je tenais à le faire remarquer.
    Quant à la faille, ça reste impressionnant d’existe dans une balise aussi utilisée