Le navigateur Google Chrome ne cherche plus à masquer l’adresse complète des sites Web.
Google, qui produit le moteur de recherche le plus utilisé au monde, a une obligation morale et peut-être même légale de protéger la vie privée et la sécurité de ses utilisateurs. Toutefois, tous ses efforts n’ont pas été accueillis sans examen, comme en témoignent Privacy Sandbox et FLoC, l’abréviation de Federated Learning of Cohorts.
Mais avant cela, Google avait déjà tenté de lutter contre les escroqueries par hameçonnage en modifiant ce que les utilisateurs voient dans la barre d’adresse de Chrome. Cette stratégie ne s’est pas avérée aussi efficace qu’on le pensait, et Google fait aujourd’hui marche arrière par rapport à la position qu’il préconisait l’année dernière.
Beaucoup d’escroqueries par phishing s’appuient sur la tendance des gens à ne pas vérifier les choses, que ce soit les numéros qui les appellent ou les adresses des sites web.
Cette dernière peut s’avérer encore plus délicate lorsque certains sites d’hameçonnage tentent d’utiliser des URL ou des adresses dont l’apparence ou la sonorité sont très proches de l’original, utilisent des chaînes de texte très longues pour décourager les contrôles ou recourent à d’autres astuces pour cacher leur véritable source. La solution de Google a consisté à masquer complètement ces URL et à n’afficher que le véritable nom de domaine de la page Web.
En 2009, Google a lancé une expérience consistant à masquer tout sauf le nom de domaine d’un site, en espérant que cela aiderait les utilisateurs à distinguer plus facilement “google.com” de “gooogle.com”.
Cette option est beaucoup moins ambitieuse qu’une proposition antérieure selon laquelle Chrome n’afficherait même pas les URL, mais uniquement les termes de recherche. Ceci, bien sûr, suppose que tout le monde utilise les barres d’adresse pour effectuer des recherches directement sur Google ou d’autres moteurs web.
Maintenant, Google met apparemment fin à cette “expérience de domaine simplifié”, ce qui veut dire qu’elle n’atteindra plus les navigateurs Chrome des utilisateurs finaux. L’entreprise a simplement déclaré que cette stratégie ne faisait pas bouger les mesures de sécurité pertinentes, ce qui constitue probablement une autre façon de dire qu’elle n’était pas vraiment efficace pour lutter contre les sites d’usurpation d’identité.
Le risque est probablement encore plus grand que les utilisateurs ne regardent pas l’URL simplifiée une seconde fois, puisqu’elle semble plus légitime en paraissant plus simple.
Outre les doutes sur l’efficacité de la solution, on reproche également à Google de favoriser ses propres applications et services avec cette stratégie. Elle aurait notamment caché les pages AMP de Google à la vue de tous, ce qui aurait généré davantage de trafic vers les serveurs de Google plutôt que vers la source réelle de ces sites.
