Afin de déjouer les attaques de phishing, le navigateur Chrome 86 dissimulera une grande partie de l'URL d'un site. « Nous allons expérimenter une autre méthode d’affichage des URL dans la barre d'adresse des plateformes desktop », ont écrit Emily Stark, Eric Mill et Shweta Panditrao, membres de l'équipe de sécurité de Chrome, dans un article publié le 12 août sur le blog de l'entreprise. « Notre objectif est de comprendre si, dans le cadre d’un usage réel, en affichant les URL en raccourci, les utilisateurs peuvent voir si le site vers lequel ils ont été dirigés est malveillant ou pas et les protège contre le phishing et les attaques d'ingénierie sociale ».
Les participants au test, qui démarrera au moment de la sortie de Chrome 86, le 6 octobre, seront choisis au hasard. Emily Stark, Eric Mill et Shweta Panditrao n'ont pas dit combien d'utilisateurs de Chrome 86, ni quel pourcentage de navigateurs, verront la barre d'adresse pilote. Ils ont précisé que les terminaux d'entreprise ne seraient pas inclus dans l’expérience. Au lieu d'afficher l'URL complète dans la barre d'adresse de Chrome, le test la condensera sous forme de « domaine enregistrable », comme l’a expliqué Google, autrement dit, la partie « la plus significative" du nom de domaine. Par exemple, si l'URL complète d'un article du Monde Informatique est https://www.lemondeinformatique.fr/actualites/lire-la-crise-sanitaire-a-renforce-le-lien-dsi-et-decideurs-metiers-80091.html, alors le domaine enregistrable serait lemondeinformatique.fr.
Un moyen anti-phishing
Selon les trois ingénieurs de Google, le fait de ne montrer que le domaine pourrait permettre aux utilisateurs - ceux qui regardent la barre d'adresse, en tout cas (ce qui n'est pas le cas de tout le monde) - de s'assurer qu'ils sont au bon endroit, et non sur un site malveillant vers lequel ils ont été redirigés à leur insu. « Il y a mille manières de manipuler les URL pour tromper les utilisateurs sur l'identité d'un site web », ont déclaré Emily Stark, Eric Mill et Shweta Panditrao. « C’est une pratique courante dans les campagnes de phishing, les attaques d’ingénierie sociale et les escroqueries en tout genre ». Pour étayer ces arguments, l’équipe de sécurité de Chrome a cité un document de recherche de 2020 intitulé « Measuring Identity Confusion with Uniform Resource Locators » (« Mesurer la confusion d’identité avec les localisateurs uniformes de ressource »). (Sur les neuf auteurs de ce document, deux sont des chercheurs de Google et les autres appartiennent à l'Université de l'Illinois à Urbana-Champaign).
Pour afficher l'URL complète, l'utilisateur doit simplement déplacer le pointeur en haut de la barre d'adresse et le laisser planer un court instant, le temps pour Chrome de restituer l'URL dans sa forme complète. Chrome propose également une nouvelle fonction accessible par clic droit appelée « Toujours afficher les URL complètes », laquelle permet de configurer la barre d'adresse pour qu'elle affiche l'URL complète de tous les sites.
Même si Chrome 86 ne sera pas disponible en version finale - ce qui Google qualifie de version « Stable » - avant quelques mois, les utilisateurs peuvent tester les URL raccourcis dès maintenant en utilisant les versions Canary ou Dev (désormais dans Chrome 86). Pour cela, il faut taper chrome://flags dans la barre d'adresse, puis régler ces deux paramètres sur « Activé » et relancer le navigateur :
#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover
#omnibox-ui-quelques fois-élide-à-domaine enregistrable
(A noter que dans le test réalisé par Computerworld, la version macOS de Chrome 86 Dev n'affichait pas l'élément « Toujours afficher les URL complètes » dans le menu du clic droit).
Ce n’est pas la première fois que Google modifie l’affichage des URL dans la barre d'adresse de Chrome. Il y a deux ans, Google avait abandonné le préfixe « m » pour les versions mobiles et le préfixe « www », mais l’éditeur a finalement rétabli ce dernier.