Android

01 mai 2019 12:32; Act: 01.05.2019 12:37 Print

Fausse barre d'adresse pour berner l'internaute

Un développeur a créé un hack étonnant sur le navigateur web Chrome pour mobile afin d'attirer l'attention sur les risques potentiels de hameçonnage.

Sur ce sujet
Une faute?

Une nouvelle attaque potentielle met en lumière les risques liés au masquage de la barre d'adresse sur le navigateur Chrome sur Android, une fois qu'une page web est chargée, dans le but d'étendre l'espace d'affichage. Mise au point par le développeur Jim Fisher, ce hack surprenant tire parti d'une fausse barre d'adresse qui se substitue à la principale. Dans sa démonstration de fonctionnement, elle affiche une prétendue connexion sécurisée https au site web de la banque britannique HSBC. Un pirate pourrait en tirer profit pour une attaque de phishing (hameçonnage) afin de soutirer des données personnelles à la victime.

Dans un billet de blog, le développeur détaille une autre technique qui empêche au navigateur Chrome de Google d'afficher de nouveau la vraie barre d'adresse en coinçant l'utilisateur dans un navigateur imbriqué dans Chrome. «Normalement, lorsque l'utilisateur scrolle vers le haut, Chrome affiche à nouveau la barre URL réelle. Mais nous pouvons tromper Chrome pour qu'il ne réaffiche jamais la vraie barre URL. Une fois que Chrome cache la barre URL, nous déplaçons tout le contenu de la page dans un "scroll jail", c'est-à-dire un nouvel élément avec overflow:scroll. Puis l'utilisateur pense qu'il fait défiler la page vers le haut, mais en fait, il ne fait que défiler vers le haut dans la prison du scroll.»

L'attaque potentielle a été baptisée Inception, en référence au film de science-fiction de Christopher Nolan avec Leonardo DiCaprio. «Comme un rêve dans "Inception", l'utilisateur croit qu'il est dans son propre navigateur, mais il est en fait dans un navigateur de son navigateur», explique James Fisher.

(L'essentiel/man)

Vous venez de publier un commentaire sur notre site et nous vous en remercions. Les messages sont vérifiés avant publication. Afin de s’assurer de la publication de votre message, vous devez cependant respecter certains points.

«Mon commentaire n’a pas été publié, pourquoi?»

Notre équipe doit traiter plusieurs milliers de commentaires chaque jour. Il peut y avoir un certain délai entre le moment où vous l’envoyez et le moment où notre équipe le valide. Si votre message n’a pas été publié après plus de 72h d’attente, il peut avoir été jugé inapproprié. L’essentiel se réserve le droit de ne pas publier un message sans préavis ni justification. A l’inverse, vous pouvez nous contacter pour supprimer un message que vous avez envoyé.

«Comment s’assurer de la validation de mon message?»

Votre message doit respecter la législation en vigueur et ne pas contenir d’incitation à la haine ou de discrimination, d’insultes, de messages racistes ou haineux, homophobes ou stigmatisants. Vous devez aussi respecter le droit d’auteur et le copyright. Les commentaires doivent être rédigés en français, luxembourgeois, allemand ou anglais, et d’une façon compréhensible par tous. Les messages avec des abus de ponctuation, majuscules ou langages SMS sont interdits. Les messages hors-sujet avec l’article seront également supprimés.

Je ne suis pas d’accord avec votre modération, que dois-je faire?

Dans votre commentaire, toute référence à une décision de modération ou question à l’équipe sera supprimée. De plus, les commentateurs doivent respecter les autres internautes tout comme les journalistes de la rédaction. Tout message agressif ou attaque personnelle envers un membre de la communauté sera donc supprimé. Si malgré tout, vous estimez que votre commentaire a été injustement supprimé, vous pouvez nous contacter sur Facebook ou par mail sur feedback@lessentiel.lu Enfin, si vous estimez qu’un message publié est contraire à cette charte, utilisez le bouton d’alerte associé au message litigieux.

«Ai-je le droit de faire de la promotion pour mes activités ou mes croyances?»

Les liens commerciaux et messages publicitaires seront supprimés des commentaires. L’équipe de modération ne tolérera aucun message de prosélytisme, que ce soit pour un parti politique, une religion ou une croyance. Enfin, ne communiquez pas d’informations personnelles dans vos pseudos ou messages (numéro de téléphone, nom de famille, email etc).

L'espace commentaires a été désactivé
L'espace commentaires des articles de plus de 48 heures a été désactivé en raison du très grand nombre de commentaires que nous devons valider sur des sujets plus récents. Merci de votre compréhension.