Les banques et les services de paiement doivent surveiller en permanence les tentatives de fraudes sur les comptes bancaires de leurs clients. Et pour détecter les activités anormales, ils disposent de techniques sophistiquées. C'est le cas notamment « des empreintes numériques » laissées par les navigateurs Internet, dont la trace logicielle est relativement unique. Sur les sites web visités, les navigateurs transmettent diverses données, comme la nature et la version du système d'exploitation de l'ordinateur qui se connecte, le fuseau horaire, les préférences de langue et les numéros de version des plug-ins installés. Si ces paramètres sont modifiés, et que l'adresse IP est différente, l'hôte peut soupçonner qu'une personne non autorisée tente d'accéder frauduleusement à un compte.

Mais différentes astuces permettent aux fraudeurs de ne pas être bloqués en faisant croire aux sites qu'ils sont des visiteurs légitimes. Ils peuvent par exemple passer par des machines virtuelles et installer des plug-ins spéciaux. Mais un développeur vient de mettre au point un logiciel qui va faciliter encore plus l'usurpation d'empreinte des navigateurs. Ce logiciel appelé FraudFox VM est basé sur une version spéciale de Windows avec un navigateur Firefox modifié tournant sous VMware Workstation pour Windows ou Fusion pour MacOS X. Depuis plusieurs semaines, le produit est vendu 1,8 bitcoin, soit environ 390 dollars HT, sur le site underground Evolution, qui a pris le relais de Silk Road. Un vendeur d'Evolution, identifié par le pseudo « hugochavez », et dont l'avatar n'est autre que la photo de l'ancien président vénézuélien, avait déjà annoncé qu'il développait FraudFox VM. D'après les commentaires postés sur un des forums, « hugochavez » semble avoir bonne réputation. FraudFox permet de modifier facilement et à volonté l'empreinte digitale d'un navigateur pour faire en sorte qu'elle corresponde à celle de la victime du compte ciblé, mais le logiciel peut aussi servir à brouiller les traces numériques de l'Internaute pendant la navigation.

Un détournement de reconnaissance d'adresse IP

En soi, FraudFox VM n'apporte pas de grande nouveauté, dans le sens où les cybercriminels les plus aguerris connaissent probablement déjà ce type de techniques. Mais, il les rassemble et facilite leur mise en oeuvre. « L'efficacité de FraudFox peut varier en fonction du service ciblé, car les empreintes de navigateur ne sont qu'une des mesures utilisées par les banques et services de paiement pour détecter les fraudeurs », a déclaré par courriel Ken Westin, responsable du marketing technique senior et analyste en sécurité pour l'entreprise de sécurité informatique Tripwire. Concernant FraudFox, celui-ci se demande comment l'outil parvient détourner la reconnaissance d'adresses IP, sachant que les systèmes de sécurité sont capables de voir si l'internaute utilise des services de proxy comme Tor par exemple. « Il sera intéressant de se procurer le logiciel quand il sera disponible et de le tester avec les outils de détection existants », a-t-il encore déclaré. « Presque toutes les entreprises qui font des transactions sensibles en ligne utilisent les empreintes digitales du navigateur », a déclaré de son côté Avivah Litan, vice-présidente et analyste spécialisée dans la sécurité des paiements chez Gartner. « Les empreintes de navigateur ne sont plus aussi fiables depuis l'utilisation de techniques comme celles offertes par des outils comme FraudFox. Et nous disons toujours à nos clients qu'ils ne peuvent pas entièrement compter sur cette méthode, surtout si c'est la seule qu'ils utilisent », a encore déclaré l'analyste par courriel. « Ce genre d'outil signe un peu l'arrêt de mort de ce type de protection », a-t-elle commenté.

FraudFox bientôt enrichi d'un script de générateur de profils

Une fenêtre déroulante du panneau de contrôle de FraudFox propose une série de cases à cocher : une pour sélectionner un type et une version de système d'exploitation, une pour dire si ce système d'exploitation est 32 ou 64 bits, une autre pour la langue, le fuseau horaire et la résolution de l'écran. Un autre menu permet également de sélectionner les polices installées, autre indicateur scruté par les systèmes de détection. Il est possible aussi de sélectionner le navigateur, son numéro de version et de décider quelle version du plug-in Adobe Flash est installée. Compte tenu de la variété des options et de la vitesse à laquelle un attaquant peut changer l'empreinte du navigateur on peut penser que l'outil « sera particulièrement utile pour tromper les sites de commerce électronique et les sites de banque en ligne », comme l'a déclaré Andrew Komarov, directeur général de l'entreprise de sécurité IntelCrawler basée à Los Angeles.

Dans une future version, FraudFox sera enrichi d'un « script générateur de profils ». Ce dernier fonctionnera avec une page dédiée au phishing. Quand une victime arrivera sur la page, le script pourra recueillir automatiquement l'empreinte digitale du navigateur de l'internaute. Ces détails seront inclus dans un fichier « .Fox », qui pourra être utilisé pour configurer rapidement FraudFox.