Accueil » Actualité » Inception Bar : une inquiétante méthode de phishing a été découverte dans Chrome

Inception Bar : une inquiétante méthode de phishing a été découverte dans Chrome

Image 1 : Inception Bar : une inquiétante méthode de phishing a été découverte dans Chrome

Dans sa version mobile, Chrome masque la barre URL et ouvre la page Web en plein écran. Comme l’internaute ne vérifie plus l’adresse, un site de phishing peut exploiter cette confiance en plaçant une fausse barre d’adresse. Et surtout, il trompe Chrome en l’empêchant d’afficher la véritable URL au cas où l’utilisateur effectuerait un défilement vers le haut.

L’inception bar expliqué pas à pas

C’est l’expérience qu’a menée avec succès un expert en sécurité, James Fisher. Le piratage consiste à déplacer tout le contenu de la page dans un nouvel élément lorsque Chrome cache la barre d’adresse. Comme dans le film Inception et son principe du « rêve à l’intérieur du rêve », l’internaute croit qu’il est toujours dans son propre navigateur alors qu’il évolue déjà au sein du site de phishing.

Le chercheur a réalisé une démonstration avec le site de la banque HSBC et le résultat est sans équivoque possible. Pourtant, la méthode est encore perfectible. Le hacker a la possibilité d’automatiser le processus. Renforcer l’interactivité de l’inception bar est également possible.

Comment se protéger d’une attaque similaire ? L’inventeur n’a pas avancé de piste précise. Il estime qu’il s’agit d’un défaut de sécurité au sein du navigateur. Selon lui, il serait préférable que Chrome trouve le juste milieu entre afficher la page en plein écran et permettre à l’internaute de vérifier l’URL.

>>> Lire aussi : Brave, le navigateur qui paye grassement ses utilisateurs