Origin Chip : la fonction pour masquer les URL dans Chrome pour limiter le phishing pourrait favoriser des attaques

À peine quelques jours après l’annonce de la sortie de la controversée fonctionnalité « Origin Chip » sous la mouture de test Chrome Canary (sous la build36), PhishMe, entreprise spécialisée dans les programmes de tests d’attaques de phishing ,vient de découvrir une faille dans « Origin Chip » après quelques tests.

En effet, conduits par Aaron Higbee et Shyaam Sundhar, les tests en question ont révélé certaines faiblesses dans la fonctionnalité, cette dernière n’affichant plus le nom de domaine dans certains cas, comme lorsque la longueur de l’URL (nom de domaine+ sous domaine) dépasse les 98 caractères.

Autre cas de figure où la fonctionnalité expérimentale plante, lorsqu’il y a redimensionnement de la fenêtre du navigateur, action qui a pour conséquence la diminution du nombre de caractères qui peuvent être affichés dans « Origin Chip », ainsi même si l’URL ne dépasse pas les 50 caractères, un redimensionnement peut faire planter la fonctionnalité, laissant l’utilisateur dans le brouillard total.

Pour rappel, « Origin Chip » est une fonctionnalité expérimentale qui a pour but d’aider les utilisateurs à identifier l’URL consultée et de lutter contre les redirections vers des faux sites, en affichant l’URL dans une section appropriée.

Ce comportement hasardeux fait dire les deux testeurs que « même les utilisateurs les plus avertis en matière de sécurité et qui auront été entraînés pour reconnaître les URL frauduleuses seront en danger ».

De ce fait, l’une des solutions qu’ils préconisent serait d’appliquer un effet visuel sur l’URL et plus spécifiquement sur le domaine principal plutôt que d’afficher ça séparément, car « étendre simplement la longueur de l’URL n’est pas une solution, les attaquants y répondront en adaptant la longueur de leur URL de manière à rester cacher »

Source : Phisme.com

Et vous ?

Qu’en pensez-vous ?