Web : Gare aux voleurs de cookies !

mars 2020 par Kaspersky

Les cookies sont de petits fichiers collectés par les sites web permettant de suivre l’activité Internet des utilisateurs. Destinés à personnaliser l’expérience de navigation, ces traceurs représentent un risque potentiel pour la sécurité de l’internaute, s’ils venaient à tomber entre de mauvaises mains. En effet, lorsque les sites enregistrent des cookies, ils y intègrent un ID de session spécifique qui leur permet de reconnaître a posteriori l’utilisateur, sans que celui-ci n’ait à entrer un identifiant ou un mot de passe. Des individus mal intentionnés en possession de l’identifiant d’un utilisateur peuvent ainsi prendre le contrôle de ses profils de comptes, en se faisant passer pour lui.

C’est exactement ce qu’ont fait des voleurs de cookies en développant des chevaux de Troie au code similaire, pilotés par le même serveur de commande et de contrôle (C&C) :

• Le premier cheval de Troie a acquis des droits « root » sur l’appareil de ses victimes (lui ouvrant toutes les permissions et accès système), ce qui a permis aux voleurs de transférer les cookies du réseau social Facebook sur leurs propres serveurs.

Cependant, posséder l’identifiant numérique ne suffit pas toujours pour prendre le contrôle d’un autre compte. Certains sites web disposent en effet de mesures de sécurité qui bloquent les tentatives de connexion suspectes (par exemple, un utilisateur précédemment actif à Chicago qui tenterait de se connecter depuis Bali quelques minutes plus tard).

• C’est à ce niveau qu’est intervenu le second cheval de Troie. L’application malveillante a fait fonctionner un serveur proxy sur l’appareil des victimes afin de contourner les mesures de sécurité et accéder à leurs comptes sans éveiller les soupçons. Dès lors, les criminels ont pu usurper l’identité des utilisateurs piratés et prendre le contrôle de leurs comptes sur les réseaux sociaux dans le but de diffuser des contenus indésirables.

Si l’objectif de ces voleurs de cookies demeure pour le moment inconnu, une page découverte sur le même serveur C&C fournit néanmoins une indication. Cette page faisant la publicité de services de diffusion de spam sur les réseaux sociaux et les messageries, il se peut en effet que les voleurs cherchent à compiler des accès à des comptes en vue de lancer plus tard de vastes attaques de spam et de phishing.

« En combinant deux attaques, les voleurs de cookies ont trouvé un moyen de prendre le contrôle du compte de leurs victimes sans éveiller les soupçons. S’il s’agit d’une menace relativement nouvelle, le nombre de victimes - environ un millier de personnes jusqu’à présent - est en augmentation et continuera probablement à progresser, d’autant que ce stratagème est difficile à détecter par les sites web. Même si nous ne faisons pas nécessairement attention aux cookies lorsque nous naviguons sur le Web, il convient d’être attentifs chaque fois que des données nous concernant sont collectées », commente Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky.

Pour en savoir plus sur les voleurs de cookies, consultez le site Securelist.

Trois conseils des experts Kaspersky pour éviter d’être victime d’un vol de cookies :

• Bloquer l’accès aux cookies tiers dans le navigateur web de votre téléphone et ne pas autoriser l’enregistrement de ses données personnelles jusqu’à la fin de la session de recherche sur Internet.

• Effacer périodiquement les cookies.

• Utiliser une solution de sécurité fiable, telle que Kaspersky Security Cloud qui comporte un mode de navigation privé, empêchant les sites web de collecter des informations sur l’activité de l’utilisateur en ligne.