Chrome : du phishing avec une vraie fausse barre d’adresse dans le navigateur

Les attaques de type phishing sont de plus en plus réalistes, pour berner un maximum d'internautes. Aujourd'hui, les pirates sont même capables de créer une fausse barre d'adresse dans Google Chrome.

Comment faire pour rendre encore davantage crédible son attaque phishing ? En créant une vraie fausse barre d’adresse dans Google Chrome, avec le fameux cadenas vert pour indiquer que la connexion est sécurisée ! James Fisher, chercheur en sécurité, en fait la démonstration sur son site et c’est vraiment impressionnant.

Une attaque phishing plus vraie que nature

Baptisé Inception, cet exploit consiste à reproduire l’apparence d’une page authentique sur smartphone – jusque là rien d’exceptionnel, c’est le principe même du phishing -, mais en y ajoutant une fausse barre d’adresse obtenue sur un site parfaitement légitime. Ici, celui de la banque HSBC.com.

Le développeur James Fisher explique en détail comment tout ceci est possible. Il faut dire que Chrome pour Android permet aux développeurs de substituer totalement l’élément graphique de la barre d’adresse par un autre. Il est aussi tout à fait possible d’empêcher la vraie barre d’apparaître lorsque l’utilisateur fait défiler l’écran. Les pirates alors proposer un élément très ressemblant à la barre d’adresse du navigateur.

avec une vraie fausse barre d’adresse dans Google Chrome

En poussant le vice à son maximum, les pirates pourraient ainsi piéger les internautes dans un vrai faux navigateurs, et espionner leur navigation et aspirer leurs données. Une attaque d’un genre nouveau qu’il est très difficile de repérer visuellement.

James Fisher suggère à Google de forcer l’affichage d’au moins un élément graphique qui empêcherait que les développeurs n’aient le contrôle sur la totalité de l’écran. Cet élément indiquerait par exemple que la vraie barre d’adresse est masquée. En touchant ledit élément, l’utilisateur pourrait, sait-on jamais, le faire réapparaître.