La version mobile de Chrome permet à des personnes malveillantes d’abuser de son affichage afin de faire apparaître une fausse barre de recherche. Trompés, les internautes transmettent sans s’en rendre compte leurs données sensibles. 

On ne sait pas encore si des pirates ont déjà utilisé l’astuce pour arnaquer des personnes, mais selon le chercheur en sécurité James Fisher la méthode serait simple à mettre en place et l’illusion serait presque parfaite. La “faille” concerne uniquement la version mobile de Chrome et consiste à afficher une fausse barre de recherche en la faisant passer pour la vraie. L’illusion serait poussée puisque la fausse barre copie parfaitement le design de la barre légitime.

Selon le chercheur, cette barre de recherche factice pourrait être utilisée pour du phishing, une forme de piratage qui consiste à se faire passer pour une marque ou une autorité reconnue et à récolter les données sensibles d’un internaute afin d’usurper son identité et potentiellement lui voler de l’argent.

Habituellement, les campagnes de phishing reproduisent l’affichage des sites officiels. Seuls quelques indices tels que les fautes d’orthographe, les URL étranges mettent l’internaute sur la piste. Mais avec la méthode “Inception”, l’illusion est presque parfaite puisque même la barre de recherche – indiquant la vraie URL – fait croire qu’on est sur le bon site. D’ailleurs la barre factice reste affichée sur la page même quand on fait défiler le site, contrairement à la barre Google.

Un abus de fonctionnalité plutôt qu’une faille

Le chercheur James Fisher a démontré l’illusion sur site propre site. Sur la capture d’écran, on peut voir que l’habillage correspond bien au site du chercheur, mais que l’URL indique l’adresse de la banque HSBC. Or, cette fausse barre de recherche reste affichée quand on fait défiler la page.

Crédit : James Fisher

Dans un long post sur son blog, le chercheur explique comment cela est possible. En réalité, il ne s’agit pas vraiment d’une faille de sécurité, mais seulement d’une exploitation de l’affichage de Chrome pour mobile. Afin de montrer le plus d’espace possible, la barre de recherche légitime de Google disparait lorsqu’on fait défiler la page. C’est grâce à cela que les pirates peuvent intégrer une seconde fausse barre de recherche et la faire passer pour celle de Google.

Le seul moyen actuel de vérifier qu’il s’agit bien de la barre de recherche légitime est de charger une nouvelle page – ou actualiser celle sur laquelle on se trouve – afin d’observer la ligne de chargement.