Sécurité

Pourquoi Google veut mettre fin à l’URL telle que nous la connaissons

Fin 2018, plus précisément en septembre, des membres de l’équipe de sécurité de Google Chrome ont suscité une controverse en présentant une proposition radicale : pour mettre fin aux URL telles que nous les connaissons. Cela peut modifier la dynamique de l’accès aux sites web, avoir un impact sur les utilisateurs et influencer les autres navigateurs.

Avant cela : qu’est-ce que l’URL ?

Pour que personne ne se trompe, une définition : Uniform Resource Locator, est un terme technique qui a été traduit en français par “localisateur de ressources uniformes”, mais tout le monde l’appelle une URL. Ce qui n’est rien d’autre que l’adresse d’un site, dans la plupart des cas. C’est ce que vous tapez pour nous lire : perlmOl.

Pourquoi diable Google veut-il mettre fin à l’URL ?

Ce que veulent les chercheurs de Google, c’est repenser la façon dont les navigateurs trouvent le site que vous consultez, afin que vous n’ayez pas à faire face à des URL “de plus en plus longues et inintelligibles”. Mais ce n’est pas seulement le confort qui touche le projet. Google veut en finir avec les attaques de phishing.

Lors d’une conférence sur la sécurité de Bay Area Enigma fin janvier, Emily Stark, chef de l’équipe de sécurité de Chrome, a détaillé les premiers pas de Google vers ce que la presse spécialisée appelle “end of URL”.

Si cela peut contribuer à rendre la question moins controversée, Stark a déclaré que Google n’essaie pas d’induire le chaos. Ce que l’équipe veut, c’est rendre plus difficile pour les pirates de s’entendre (et de gagner un peu d’argent) avec le désordre qu’un utilisateur peut faire avec de fausses URL.

Alors que la plupart des fausses pages utilisent le protocole HTTP, les sites légitimes qui ont tendance à demander des identifiants d’accès (réseaux sociaux, sites bancaires, courrier électronique et magasins), il existe des sites frauduleux qui utilisent le protocole HTTP. Un attaquant peut facilement transformer une page en HTPP en obtenant un certificat SSL valide /TLS, y compris gratuit.

  Google lance Chrome Remote Desktop pour que vous puissiez contrôler votre ordinateur via iOS

Face à cela, Google a déjà commencé les changements : 1) il a cessé de marquer les sites avec HTTP comme sûrs ; 2) il a marqué tous les sites sans HTTP comme “non sûrs” ; 3) ce qui a généré une course de milliers de sites dans le monde cherchant à se conformer à Google Chrome.

Mais ce n’est pas suffisant. Il existe des sites dont les HTTP appliquent une telle arnaque à partir de la soupe de l’alphabet.

Qu’est-ce que l’attaque homogène ?

En général, les délinquants créent des liens malveillants qui semblent mener à un site web légitime, mais redirigent automatiquement les victimes vers une page de phishing. Et  ils peuvent créer des pages malveillantes avec des URL très similaires à celles d’origine, en espérant que les victimes ne remarqueront pas qu’elles se trouvent dans G00gle au lieu de Google.

“Ce dont nous parlons réellement, c’est de changer la façon dont l’identité du site est présentée”, a déclaré M. Stark à Wired. “Les gens devraient savoir facilement sur quel site ils se trouvent et ne pas se tromper quand ils pensent qu’ils sont sur un autre site. Il n’est pas nécessaire d’avoir des connaissances avancées sur le fonctionnement de l’Internet pour le comprendre”, a-t-il déclaré.

Il s’agit certainement d’une proposition qui s’adresse aux profanes et aux nouveaux utilisateurs. Mais même les utilisateurs fréquents et les cascudos, par hâte ou par manque d’attention, finissent par être victimes du coup d’État . il suffit au criminel d’enregistrer un domaine aussi semblable que possible à l’original et d’acheter ensuite un certificat gratuit.

Par exemple : ?twiitter.com ? ou ?rnercadolivre.com ? Lorsque vous recevez une notification par courrier électronique, vous pouvez accéder aux personnes les plus distraites sans vous en apercevoir, en fournissant vos données.

  Arrivée du nouvel antivirus NOD32 ? pour Mac

La correction sur l’utilisation des caractères

Vous connaissez ces tests qui montrent des mots incomplets ou des erreurs imperceptibles, que vous finissez par lire comme s’ils étaient bien écrits ? Cela est rendu possible par l’utilisation d’Unicode, d’ASCII et d’autres langues (cyrillique, grec et russe).

Punycode, qui est une syntaxe de codage permettant de traduire n’importe quel caractère Unicode en une chaîne plus limitée et compatible avec les URL. Il suffit d’enregistrer un nom de domaine en utilisant ces caractères. C’est si simple à faire que vous pouvez créer vos propres versions avec un convertisseur.

Chrome et d’autres navigateurs ont bloqué l’utilisation du Punycode, mais il y a des navigateurs qui n’ont pas encore fait de mouvements autour de celui-ci. Notez cependant que toutes les fausses URL ne font pas appel à cette technique (comme dans les exemples ci-dessus utilisant Twitter et Mercado Livre).

Donc, le problème continue…

TrickURI et le détournement de trafic

Jusqu’à présent, les efforts de l’équipe Google Chrome se concentrent sur la recherche de moyens de détecter les URL qui semblent s’écarter du modèle d’une manière ou d’une autre. Pour ce faire, un outil open source appelé TrickURI, publié en même temps que l’exposé de Stark, aidera les développeurs à vérifier que Chrome affiche les URL avec précision.

En plus de TrickURI, Stark et ses collègues travaillent également sur des avertissements pour les utilisateurs de Chrome lorsqu’une URL apparaît “peu fiable”. Les alertes sont encore en cours de test aux Canaries, la partie délicate consiste à développer des processus qui signalent correctement les sites malveillants sans endommager les sites légitimes.

“Notre heuristique pour détecter les URL trompeuses consiste à comparer des caractères similaires avec des domaines qui ne diffèrent que par un petit nombre de caractères”, a déclaré M. Stark. “L’objectif est de développer un ensemble d’heuristiques qui dissuaderont les escrocs d’utiliser des URL extrêmement trompeuses, et un défi important consiste à éviter de suspecter les domaines légitimes. C’est pourquoi nous lançons l’alerte à titre expérimental.

  Dashlane change vos mots de passe sur tous les services en un seul clic

Stark souligne que les utilisateurs devraient se concentrer sur ce qu’il appelle “les parties importantes des URL” et affiner la façon dont Google Chrome les présente, mais il a fait marche arrière et reporté ses plans pour cacher des parties de l’URL  ? comme l’a fait Apple avec Safari (savoir comment faire marche arrière).

Le grand défi consiste à montrer les parties des URL qui sont pertinentes pour la sécurité en ligne et la prise de décision, tout en filtrant d’une manière ou d’une autre tous les éléments supplémentaires qui rendent les longs liens difficiles à lire et à jouer au clavier.

Parfois, les navigateurs doivent aussi aider à l’inverse : en développant des URL raccourcies ou tronquées. Il est bon de se rappeler que Google a déjà créé ses services de raccourcissement d’URL : Goo.gl et G.co et les raccourcisseurs de liens sont toujours pointés comme des méchants.

Quel est l’avenir de l’URL ?

Pour l’instant, l’URL continue…

L’équipe de sécurité de Google Chrome a déjà été confrontée à d’autres problèmes, a mis au point des correctifs pour Chrome, et cela a ensuite motivé tous les autres navigateurs à adopter des pratiques similaires. Cette stratégie a particulièrement bien réussi à stimuler une évolution vers l’adoption universelle du cryptage.

La même influence utilisée pour un changement positif peut être mal orientée, disent les critiques. Toucher à quelque chose d’aussi fondamental que les URL suscite des craintes : les solutions peuvent être bonnes pour Chrome, mais pas nécessairement pour le reste du web. La grande popularité de Google Chrome entraîne, également, une grande responsabilité.

Pour l’instant, il reste à suivre comment les idées de l’équipe de sécurité de Google Chrome se concrétisent dans la pratique et rendent effectivement tout plus sûr.

A propos de l'auteur

Bernard

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire