IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google va masquer les URL dans Chrome 86 pour lutter contre les attaques par hameçonnage
L'éditeur prévoit un test à grande échelle pour jauger l'utilité de ce mécanisme

Le , par Stéphane le calme

45PARTAGES

9  0 
Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. En effet, dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, seul le nom de celui-ci va s'afficher dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.

L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants

Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »

Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»

Pourtant, quelques années plus tard, l’entreprise revient de plus belle avec son projet. De nouveaux indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.

Le mécanisme semble sur le point d'être finalisé puisque l'éditeur veut soumettre les utilisateurs de Chrome à un test à grande échelle dans la prochaine version de son navigateur pour découvrir comment les internautes réagissent en voyant simplement le nom de domaine d'un site sans l'URL complète des pages de ce site. Le test sera réalisé sur Chrome 86.

Dans un billet de blog, l'équipe de sécurité de Chrome a expliqué que :

« Sur le Web d’aujourd’hui, les URL restent le principal moyen dont se servent les internautes pour déterminer l’identité et l’authenticité d’un site, mais nous savons que les URL souffrent de problèmes d’utilisation. Par exemple : les attaquants peuvent manipuler les URL de multiples façons pour induire les utilisateurs en erreur sur l'identité d'un site Web, ce qui conduit à un hameçonnage effréné, à l'ingénierie sociale et aux escroqueries. Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL.

« Différents navigateurs abordent ce défi de plusieurs manières, notamment en affichant uniquement le domaine par défaut ou en mettant en évidence visuellement le domaine enregistrable (la partie ‘la plus significative’ du nom de domaine). Dans Chrome 86, nous allons également expérimenter la façon dont les URL sont affichées dans la barre d'adresse sur les plateformes desktop. Notre objectif est de comprendre, grâce à une utilisation réelle, si l'affichage des URL de cette manière aide les utilisateurs à se rendre compte qu'ils visitent un site Web malveillant et les protège des attaques de phishing et d'ingénierie sociale. »


Un test dans Chrome 86 montre le nom de domaine par défaut et l'URL complète au survol

Si vous vous trouvez dans le groupe expérimental et que vous souhaitez afficher l'URL complète d'un site donné, vous avez deux options. Vous pouvez d'abord survoler l'URL et elle se développera complètement. En second lieu, vous pouvez faire un clic droit sur l'URL et choisir « Toujours afficher les URL complètes » dans le menu contextuel ; l'activation de ce paramètre affichera l'URL complète de tous les futurs sites que vous visitez. (Notamment: les appareils enregistrés comme appartenant à des entreprises ne seront pas inclus dans ce test Chrome 86.)


Source : Google

Et vous ?

Que pensez-vous de cette approche ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de tanaka59
Inactif https://www.developpez.com
Le 14/08/2020 à 23:45
Bonsoir

Que pensez-vous de cette approche ?
"L'idée de raccourcir est pas mal" ... mais il y a un "mais" ...

Citation Envoyé par bk417
La plupart des gens non-connaisseurs ne savent pas lire une url et comprendre de quoi elle est constituée : nom de domaine, top-level-domain, sous-domaine, arguments, extensions,...
Donc si y a écrit "facebook" ou "credit mutuel" dans l'url ils ne savent pas avec certitude si c'est le bon site, ils supposent et ont des chances de se faire avoir.

Firefox colore le nom de domaine en foncé pour montrer son importance par rapport au reste de l'url.
La proposition des Chrome est bien aussi. Et puisqu'on peut désactiver, je trouve ça tout benef.
On sais quasiment tout comment fonctionne un numéro de "téléphone" ou une "adresse postale" ...

> un numéro de téléphone c'est un "code pays" +32 +33 +352 ... , un indicatif régional ou opérateur ou selon le type de ligne (mobile ou fixe) et un numéro d'abonné (02 et 7 chiffres pour Bruxelles, 01 et 8 chiffres pour l'IDF ... )
> une adresse postale c'est un "pays", un indicatif régional (code département, code région, début d'un code postal ...) , un indicatif de ville (zip , CP ... ) , une ville ou un arrondissement, une rue/un lieu identifiable géographiquement, un numéro de bâtiment

30 ans après , lire une adresse internet devrait même s'enseigner ... Internet est utilisé par près de 2 terriens sur 3 . Lire une url (du moins le début) , devrait être un B A BA ... comme l'adressage IP ...

Pas forcement avoir une approche technique , mais avoir une approche pédagogique, éduquer, informer, sensibilier ... Les gens seraient moins naif et cliqueraient aussi moins de manière "mouton".

Bien peut savent par exemple que leclerc ou Renault ont une forme de pays "virtuel" au même titre que le ".be" ".fr" ".lu" ... avec ".leclerc" ou ".renault"
1  0 
Avatar de jopopmk
Membre expert https://www.developpez.com
Le 14/08/2020 à 9:14
"Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL"
J'aimerai bien avoir le détail de cette "étude" parce que je vois pas trop comment on peut se tromper (hors homoglyphe dans le DN, et ce masquage n'y changera rien).

Perso je ne trouve pas cette fonctionnalité utile (voire gênante dans mon cas) mais si on peut la désactiver, alors grand bien leur fasse.
0  0 
Avatar de Fleur en plastique
Membre extrêmement actif https://www.developpez.com
Le 14/08/2020 à 11:21
Citation Envoyé par xav-stargate Voir le message
Safari le fait déjà et ça ne gène personne
Ce n'est pas comme ça que je l'aurais présenté.

J'aurais plutôt dit : Apple a imposé ce changement et on a que notre gueule à fermer. D'autant plus que vu le prix qu'on paye, un tel changement est forcément que pour notre bien. Et si ça peut contribuer à nourrir la propagande d'Apple champion de la sécurité, alors toutes les ficelles sont bonnes.
0  0 
Avatar de bk417
Membre actif https://www.developpez.com
Le 14/08/2020 à 17:27
@jopopmk, les gens ne sont pas de grands connaisseurs du fonctionnement d'internet.

La plupart des gens non-connaisseurs ne savent pas lire une url et comprendre de quoi elle est constituée : nom de domaine, top-level-domain, sous-domaine, arguments, extensions,...
Donc si y a écrit "facebook" ou "credit mutuel" dans l'url ils ne savent pas avec certitude si c'est le bon site, ils supposent et ont des chances de se faire avoir.

Firefox colore le nom de domaine en foncé pour montrer son importance par rapport au reste de l'url.
La proposition des Chrome est bien aussi. Et puisqu'on peut désactiver, je trouve ça tout benef.
0  0 
Avatar de xav-stargate
Membre à l'essai https://www.developpez.com
Le 13/08/2020 à 22:39
Safari le fait déjà et ça ne gène personne
0  1 
Avatar de Mubelotix
Inactif https://www.developpez.com
Le 04/09/2020 à 23:03
C'est standardisé tout ce bazar ou ils sont en train de donner le coup de grâce au web ?
1  2