Google va masquer les URL dans Chrome 86 pour lutter contre les attaques par hameçonnage,
l'éditeur prévoit un test à grande échelle pour jauger l'utilité de ce mécanisme
Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. En effet, dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, seul le nom de celui-ci va s'afficher dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.
L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants
Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »
Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»
Pourtant, quelques années plus tard, l’entreprise revient de plus belle avec son projet. De nouveaux indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.
Le mécanisme semble sur le point d'être finalisé puisque l'éditeur veut soumettre les utilisateurs de Chrome à un test à grande échelle dans la prochaine version de son navigateur pour découvrir comment les internautes réagissent en voyant simplement le nom de domaine d'un site sans l'URL complète des pages de ce site. Le test sera réalisé sur Chrome 86.
Dans un billet de blog, l'équipe de sécurité de Chrome a expliqué que :
« Sur le Web d’aujourd’hui, les URL restent le principal moyen dont se servent les internautes pour déterminer l’identité et l’authenticité d’un site, mais nous savons que les URL souffrent de problèmes d’utilisation. Par exemple : les attaquants peuvent manipuler les URL de multiples façons pour induire les utilisateurs en erreur sur l'identité d'un site Web, ce qui conduit à un hameçonnage effréné, à l'ingénierie sociale et aux escroqueries. Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL.
« Différents navigateurs abordent ce défi de plusieurs manières, notamment en affichant uniquement le domaine par défaut ou en mettant en évidence visuellement le domaine enregistrable (la partie ‘la plus significative’ du nom de domaine). Dans Chrome 86, nous allons également expérimenter la façon dont les URL sont affichées dans la barre d'adresse sur les plateformes desktop. Notre objectif est de comprendre, grâce à une utilisation réelle, si l'affichage des URL de cette manière aide les utilisateurs à se rendre compte qu'ils visitent un site Web malveillant et les protège des attaques de phishing et d'ingénierie sociale. »
Un test dans Chrome 86 montre le nom de domaine par défaut et l'URL complète au survol
Si vous vous trouvez dans le groupe expérimental et que vous souhaitez afficher l'URL complète d'un site donné, vous avez deux options. Vous pouvez d'abord survoler l'URL et elle se développera complètement. En second lieu, vous pouvez faire un clic droit sur l'URL et choisir « Toujours afficher les URL complètes » dans le menu contextuel ; l'activation de ce paramètre affichera l'URL complète de tous les futurs sites que vous visitez. (Notamment: les appareils enregistrés comme appartenant à des entreprises ne seront pas inclus dans ce test Chrome 86.)
Source : Google
Et vous ?
Que pensez-vous de cette approche ?
Partager