27-04-2019

Google veut détruire les URL

En septembre, les membres de l’équipe de sécurité de Google Chrome ont présenté une proposition radicale: supprimer les URL telles que nous les connaissons. Les chercheurs ne préconisent pas réellement un changement de l’infrastructure sous-jacente du Web. Cependant, ils souhaitent modifier la façon dont les navigateurs affichent le site Web que vous consultez, afin que vous n’ayez pas à faire face à des URL de plus en plus longues et inintelligibles – et à la fraude qui les entoure. Lors d’une conférence mardi à la conférence sur la sécurité Bay Area Enigma, Emily Stark, responsable de la sécurité chez Chrome, se plonge dans la controverse, détaillant les premiers pas de Google vers une identité de site Web plus robuste.  Stark souligne que Google n’essaye pas de provoquer le chaos en éliminant les URL. Au contraire, il veut rendre plus difficile pour les pirates informatiques de tirer parti de la confusion des utilisateurs au sujet de l’identité d’un site Web. À l’heure actuelle, le flou infini d’URL complexes offre aux assaillants une couverture contre les arnaques efficaces. Ils peuvent créer un lien malveillant qui semble mener à un site légitime, mais redirige automatiquement les victimes vers une page de phishing. Ils peuvent également concevoir des pages malveillantes avec des URL similaires à celles d’origine, en espérant que les victimes ne remarqueront pas qu’elles se trouvent sur G00gle plutôt que sur Google. Avec autant de manigances d’URL à combattre, l’équipe de Chrome travaille déjà sur deux projets visant à apporter une certaine clarté aux utilisateurs.  « Ce dont nous parlons vraiment, c’est de changer la manière dont l’identité du site est présentée », a déclaré Stark à WIRED. « Les gens devraient savoir facilement sur quel site ils se trouvent, et ils ne devraient pas être déroutés en pensant qu’ils sont sur un autre site. Cela ne devrait pas nécessiter une connaissance approfondie de la façon dont Internet fonctionne pour comprendre cela. »  « Un défi clé consiste à éviter de signaler les domaines légitimes comme suspects. » Emily Stark, Google Chrome  Jusqu’à présent, les efforts de l’équipe Chrome visaient à déterminer comment détecter les URL qui semblaient s’écarter quelque peu des pratiques habituelles. TrickURI, dont le fondement est basé sur la conférence téléphonique de Stark, aide les développeurs à vérifier que leur logiciel affiche les URL de manière précise et cohérente. L’objectif est de donner aux développeurs un outil de test afin qu’ils sachent comment les URL vont afficher les utilisateurs dans différentes situations. En plus de TrickURI, Stark et ses collègues s’emploient également à créer des avertissements pour les utilisateurs de Chrome lorsqu’une URL semble potentiellement fictive. Les alertes font toujours l’objet de tests internes, car la partie compliquée consiste à développer des méthodes heuristiques qui signalent correctement les sites malveillants sans modifier les sites légitimes. *  Pour les utilisateurs de Google, la première ligne de défense contre le phishing et les autres escroqueries en ligne reste la plateforme de navigation sécurisée de l’entreprise. Cependant, l’équipe de Chrome explore des compléments à la navigation sécurisée qui se concentrent spécifiquement sur le marquage des URL fragmentaires.  « Notre méthode heuristique de détection des URL trompeuses implique la comparaison de caractères ressemblant les uns aux autres et de domaines ne variant que par un petit nombre de caractères », explique Stark. « Notre objectif est de développer un ensemble d’heuristiques qui éloigne les pirates des URL extrêmement trompeuses. Un défi clé consiste à éviter de signaler les domaines légitimes comme étant suspects. C’est pourquoi nous lançons cet avertissement lentement, à titre expérimental. »  Google indique qu’il n’a pas encore commencé à diffuser les avertissements à l’ensemble de la population d’utilisateurs, tandis que l’équipe de Chrome perfectionne ces fonctionnalités de détection. Et bien que les URL puissent ne pas être utilisées de sitôt, Stark souligne qu’il reste encore beaucoup à faire pour amener les utilisateurs à se concentrer sur des parties importantes d’URL et à préciser la manière dont Chrome les présente. Le grand défi consiste à montrer aux utilisateurs les éléments d’URL pertinents pour leur sécurité et leur prise de décision en ligne, tout en filtrant d’une manière ou d’une autre tous les composants supplémentaires qui rendent les URL difficiles à lire. Les navigateurs doivent aussi parfois aider les utilisateurs à résoudre le problème inverse en développant des URL raccourcies ou tronquées.  « Cet espace est vraiment difficile, car les URL fonctionnent vraiment bien pour certaines personnes et sont utilisées actuellement, et beaucoup de personnes les aiment », déclare Stark. « Nous sommes ravis des progrès que nous avons accomplis avec notre nouvel outil Open Source TrickURI à affichage d’URL et nos nouveaux avertissements exploratoires sur les URL confus. »  L’équipe de sécurité de Chrome avait déjà abordé des problèmes de sécurité à l’échelle d’Internet, en développant des correctifs dans Chrome, puis en invoquant le poids de Google pour motiver tout le monde à adopter cette pratique. La stratégie a particulièrement bien réussi ces cinq dernières années à stimuler un mouvement en faveur de l’adoption universelle du cryptage Web HTTPS. Mais les critiques de cette approche craignent les inconvénients du pouvoir et de l’omniprésence de Chrome. La même influence utilisée pour un changement positif pourrait être mal dirigée ou maltraitée. Et avec quelque chose d’aussi fondamental que les URL, les critiques craignent que l’équipe de Chrome ne découvre des tactiques d’affichage de l’identité de site Web qui sont bonnes pour Chrome mais ne profitent pas réellement au reste du Web. Même des modifications apparemment mineures au niveau de la confidentialité et de la sécurité de Google Chrome peuvent avoir des conséquences importantes sur la communauté Web.  De plus, un compromis de cette omniprésente est redevable aux entreprises qui craignent le risque. « Les URL, dans leur fonctionnement actuel, sont souvent incapables d’indiquer un niveau de risque que les utilisateurs peuvent identifier rapidement », déclare Katie Moussouris, fondatrice de la société de divulgation de vulnérabilités responsables Luta Security. « Mais au fur et à mesure que Chrome adopte de plus en plus d’entreprises, plutôt que dans l’espace consommateur, leur capacité à modifier radicalement les interfaces visibles et l’architecture de sécurité sous-jacente sera réduite par la pression de leurs clients. La grande popularité suscite non seulement la responsabilité de protéger minimiser le désabonnement des fonctionnalités, la convivialité et la compatibilité ascendante. «   Si tout cela ressemble à beaucoup de travail déroutant et frustrant, c’est exactement le but. La prochaine question sera de savoir comment les nouvelles idées de l’équipe Chrome fonctionnent dans la pratique et si elles finissent vraiment par vous rendre plus sûr sur le Web. A lire sur le site de l’Agence SEO Lille.

Publié par renardvoyageur dans Non classé | RSS 2.0

Le dicton du jour |
h e r |
Life-is-maybe-unfair |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | Le renard vert
| Sharpay10
| Moidu38120