La barre d’adresse est d’une extrême importance dans un navigateur. Il donne les premiers signes qu’un site est fiable ou non. Sachant cela, les cybercriminels peuvent appliquer de fausses escroqueries à la barre d’adresse de Chrome et d’autres navigateurs pour Android et iOS.
C’est ce que souligne le développeur Jim Fisher, qui a montré comment Chrome et d’autres navigateurs mobiles peuvent être vulnérables au phishing. Sur les téléphones portables et les tablettes, les navigateurs cachent souvent la barre d’adresse lorsque vous faites défiler la page.
Profitant de ce comportement, les cybercriminels sont capables de créer leur propre bar avec l’adresse qu’ils veulent. Une fois la barre du navigateur cachée, il est possible d’afficher une barre très similaire à la vraie, trompant les utilisateurs les moins attentifs.
Dans son exemple, Fisher a fait afficher sur son site l’URL “hsbc.com” à côté du cadenas et du nombre d’icônes d’onglets dans Chrome. Il n’a utilisé qu’une seule image pour la démonstration, mais un travail plus précis pourrait même aboutir à un bar interactif.
Les auteurs du coup d’État peuvent également empêcher le retour en haut de page et, par conséquent, l’affichage de la barre réelle. Avec une propriété CSS (overflow : scroll), il est possible de donner à la victime l’impression qu’elle fait défiler toute la page, alors qu’en fait elle n’en déplace qu’une partie. En gros, l’utilisateur fait défiler une fenêtre à l’intérieur d’une autre fenêtre.
Même si la victime essaie d’atteindre le haut de la page, les responsables du coup d’État peuvent créer une sorte de marge entre le haut de la fenêtre et le texte. Lorsqu’elle atteint un certain point dans la marge, la page revient dans la zone de texte, indiquant qu’elle a été mise à jour.
Fisher considère la possibilité de ce coup comme une faille de sécurité de Chrome. Bien qu’il ne s’agisse pas d’une fissure classique, il pense que le navigateur pourrait apporter des modifications pour éviter que les utilisateurs ne soient confondus avec les barres d’adresse.
Un résultat serait d’afficher une ombre en haut de la page pour indiquer que la barre d’adresse réelle est cachée. Le développeur se souvient également qu’avec un code plus élaboré, il serait possible d’adapter l’apparence de la fausse barre en fonction du navigateur.
“Je peux imaginer que cette technique trompe les utilisateurs qui en sont moins conscients et moins instruits techniquement”, dit-il. “Le seul moment où l’utilisateur a la possibilité de vérifier la véritable URL est au moment du chargement de la page, avant de lancer la page. Après cela, il n’y a pas beaucoup d’échappatoire”.
