Zoom sur les attaques par captcha
Les captchas, ces tests utilisés depuis des années pour vérifier que nous sommes bien des êtres humains, sont devenus familiers à notre environnement numérique. Cependant, derrière cette mesure de sécurité courante, une nouvelle forme d’attaque fait surface.
La réussite d’une attaque informatique se base très souvent sur l’exploitation du facteur humain. Il s’agit pour l’attaquant de tromper l’utilisateur afin de lui offrir une opportunité de pénétrer dans son système. De nos jours, les plateformes vérifient régulièrement si l’utilisateur n’est pas un robot et mettent en place un système bien connu: le captcha.
Les scénarios de compromission “conventionnels” tels que le phishing avec une pièce jointe vérolée sont désormais connus, et la plupart des utilisateurs sont maintenant avertis à ce type de technique. Vu ce constat, l’attaquant s’est adapté en utilisant les usages web, en simulant un captcha pour inciter à une exécution utilisateur.
Qu'est ce qu’une attaque par captcha ?
Vous avez reçu un mail qui paraît intéressant. En cliquant sur un lien, vous vous attendez à être dirigé vers le contenu promis. Cependant, au lieu de cela, une page suspecte apparaît, affichant ce qui ressemble à un captcha, ce petit test qui permet de prouver que vous n’êtes pas un robot.
C’est là que l’attaque se met en place. Ce faux captcha n’est pas là pour vérifier si vous êtes humain(e). Son but est de vous inciter à aider un attaquant. Cette personne aura préalablement injecté un code dans votre presse-papiers à votre insu. La page vous demandera alors de faire une combinaison de touches simples, comme « Windows + R » suivi d’un « Ctrl + V« , puis de valider. L’objectif est de vous faire coller ce contenu malveillant, sur “un pop up” qui s’est ouvert.
L’attaquant ne peut pas exécuter ce code seul, il a besoin de votre action. Si vous effectuez ces manipulations, le code est activé. Une fois l’opération réussie, l’attaquant est informé et vous êtes redirigé vers la page que vous souhaitiez consulter initialement, comme si de rien n’était. De cette action, vous avez involontairement aidé l’attaquant à s’introduire dans votre système d’informations.
Comment les attaquants exploitent les captchas contre les utilisateurs
Une attaque par captcha est une forme d’ingénierie sociale particulièrement subtile. Elle tire parti de notre familiarité avec ces codes de vérification, devenus une routine quotidienne. Pour nous, le captcha est un mécanisme de sécurité habituel, nous y faisons instinctivement confiance. C’est précisément là que réside le danger. Les cybercriminels utilisent cette habitude pour nous inciter à effectuer une action qui nous semble anodine, car elle s’inscrit dans un geste que nous faisons couramment. C’est pour cette raison que nous ne sommes pas vigilants lorsque qu’un faux ou un vrai captcha s’affiche. Notre cerveau ne perçoit pas cette interaction comme une menace d’ingénierie sociale.
L’attaque par captcha n’est pas une menace isolée ; elle s’inscrit dans la lignée des techniques d’ingénierie sociale comme le phishing, en constante évolution pour contourner nos défenses. Face à cette nouvelle astuce des cybercriminels, la prévention en entreprise devient importante. Il est impératif de réveiller notre vigilance collective et de nous donner le temps d’analyser chaque captcha, même ceux qui semblent familiers. Les entreprises doivent investir dans des campagnes de sensibilisation régulières.
