Google Chrome reprend son projet visant à masquer les URL dans Chrome Canary 85
Google Chrome reprend son projet visant à masquer les URL dans Chrome Canary 85,
officiellement pour aider les utilisateurs à se protéger des attaques par hameçonnage
Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. En effet, dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, seul le nom de celui-ci va s'afficher dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.
L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants
Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »
Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»
La communauté developpez.com s’est également exprimée sur le sujet. Sodium par exemple a estimé que ce n’était pas la bonne approche : « Infantiliser les utilisateurs ne me semble jamais être une bonne chose. C'est parce qu'ils ne comprennent pas l'informatique qu'ils se font avoir par des tentatives de fraude souvent grossières. Moins ils comprendront ce qu'il se passe derrière leur machine, plus il y aura de risques de tomber dans les pièges d'Internet ». Même son de cloche pour mrqs2crbs qui a noté : « je crois surtout qu'il faut apprendre aux utilisateurs à lire correctement. Parce que, juste dire : "ça va vous protéger, vous n'aurez besoin de rien connaître", ça sonne surtout comme une grosse embrouille ».
Pour sizvix, cela pouvait cacher une stratégie de Google : « Éloigner encore un peu plus les utilisateurs des URL pour les rapprocher du moteur de recherche bien sûr »
Vanquish note : « IE affiche déjà la partie la plus significative de l'URL en noir, alors que le reste est en gris. Ça va un peu dans le même sens. Il faut voir la réalisation. Si en cliquant sur un bouton j'ai accès et peux modifier l'URL complète (c'est parfois utile), ça me va. Car pour l'utilisateur lambda, je partage le point de vue sur la complexité des URL : combien d’utilisateurs ne font pas la différence entre la zone d'URL et le champ de recherche de la page Google qui leur sert de homepage »
Bon gré mal gré, Google a mis son projet au placard, notamment après le tollé que cela a provoqué en plus de la découverte de faiblesses dans la fonctionnalité « Origin Chip » par PhishMe, entreprise spécialisée dans les programmes de tests d’attaques de phishing, après seulement quelques tests.
Pourtant, quelques années plus tard, l’entreprise revient de plus belle avec son projet. Quelques nouveaux indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.
Il existe deux indicateurs supplémentaires qui modifient ce comportement. L'un révèle l'adresse complète une fois que vous survolez la barre d'adresse (au lieu d'avoir à cliquer dessus), tandis que l'autre ne masque la barre d'adresse qu'une fois que vous interagissez avec la page. Une page ouverte sur le Chromium Bug Tracker a également été créée pour garder une trace des changements, bien qu'il n'y ait pas de détails supplémentaires.
Il n'y a pas encore d'explication publique donnant des éclaircissements sur les raisons pour lesquelles Google a décidé de procéder à ces changements maintenant, mais la société a déclaré par le passé qu'elle pensait que montrer l'adresse complète pouvait rendre plus difficile de dire si le site actuel était légitime. « L'affichage de l'URL complète peut nuire aux parties de l'URL qui sont plus importantes pour prendre une décision de sécurité sur une page Web », a déclaré Livvie Lin, ingénieur logiciel Chromium, dans un document de conception plus tôt cette année.
Cependant, il convient également de considérer que le fait de rendre l'adresse Web moins importante, comme le fait cette fonctionnalité, profite à Google en tant qu'entreprise. L'objectif de Google avec Accelerated Mobile Pages (AMP) et des technologies similaires est de garder les utilisateurs sur le contenu hébergé par Google autant que possible, et Chrome pour Android modifie déjà la barre d'adresse sur les pages AMP pour cacher que les pages sont hébergées par Google. La modification des adresses sur desktop est une autre étape vers leur non-pertinence, ce qui pourrait nuire à la nature décentralisée d'Internet dans son ensemble.
Source : Chromium Bug Tracker
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Répondre avec citation
Partager