Maj. le 29 avril 2019 à 19 h 48 min

Un chercheur en sécurité, James Fisher, détaille une nouvelle attaque phishing visant Chrome sur smartphone : l’astuce, c’est de créer une fausse barre d’adresse qui se substitue à celle du navigateur. D’apparence authentique, cette barre, surnommée « Inception » par son créateur, assure le visiteur qu’il est sur la bonne page, et jouit d’une connexion sécurisée. Elle peut également le coincer dans un environnement contrôlé par des pirates, même lorsqu’il tente de quitter la page.

Une fausse barre d'adresse, plus vraie que nature / jameshfisher.com
Une fausse barre d’adresse, plus vraie que nature / jameshfisher.com

Un développeur, James Fisher, détaille sur son site un nouveau type d’attaque phishing. Baptisé « Inception », l’exploit reproduit l’apparence d’une page authentique sur smartphone à l’aide d’une simple capture d’une barre d’adresse obtenue lors d’une visite sur un site – en l’occurence celui de la banque HSBC.com. Il explique dans son article comment pousser le concept dans ses retranchements, et ainsi coincer le visiteur dans une sorte de navigateur imbriqué dans Chrome.

Lire également : Google Chrome – des pirates utilisent une extension pour voler des mots de passe

Chrome : nouvelle attaque phishing via une barre d’adresse digne d' »Inception »

On apprend ainsi que Chrome pour Android peut permettre à un développeur de substituer complètement l’élément graphique de la barre d’adresse par un autre, fabriqué de A à Z par des pirates. Il détaille comment empêcher, par exemple, que la vraie barre de recherche n’apparaisse lorsque l’utilisateur fait défiler l’écran. Ou remplacer cette barre d’adresse – qui peut n’être qu’une simple image – par un vrai champ dans lequel l’internaute peut entrer n’importe quelle adresse de son choix.

Les pirates auront alors tout le loisir d’espionner ce que l’internaute fait sur d’autres sites, voire aspirer ses identifiants en route. Cette attaque est étonnamment difficile à repérer, et c’est ce qui semble la rendre très dangereuse. Le chercheur suggère aux ingénieurs de Google de forcer l’affichage d’un élément graphique qui empêche la page de pouvoir afficher ce que bon lui semble sur la totalité de l’écran. Un élément qui pourrait signaler que la vraie barre d’adresse est cachée, et permettre à l’utilisateur de la faire réapparaitre en touchant le message.

Lire également : une nouvelle attaque phishing par SMS veut piller votre compte en banque !

Pensez-vous avoir été déjà victime d’une attaque phishing ? Partagez votre retour dans les commentaires.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…