Le paramètre "Effacer les données du site lorsque vous quittez Chrome" n'est respecté que pour les sites non Google

Jeff Johnson se demande s'il s'agit d'un bogue ou d'un comportement intentionnel

En début de mois, Google a proposé Chrome 86. Cette version du navigateur est la première à prendre en charge la vérification d’orthographe de Windows. Google semble avoir axé ses mises à jour sur un renforcement des fonctions de sécurité.

Chrome 86 affiche désormais des alertes de sécurité sur les pages HTTPS hébergeant des contenus non sécurisés. Sur Desktop et Android, les utilisateurs verront ainsi une alerte s’afficher lorsqu’ils seront sur le point de soumettre un formulaire n’utilisant pas de connexion HTTPS pour être envoyé. La présence de ces « contenus mixtes » déclenchera également des alertes pour d’autres éléments, comme des liens de téléchargement non sécurisés proposés sur des pages utilisant pourtant le protocole HTTPS.

À ce propos, Google explique : « Les pages HTTPS sécurisées peuvent parfois avoir des fonctionnalités non sécurisées. Plus tôt cette année, Chrome a commencé à sécuriser et bloquer ce qu’on appelle le « contenu mixte », lorsque les pages sécurisées intègrent du contenu non sécurisé. Mais il existe encore d’autres façons pour les pages HTTPS de créer des risques de sécurité pour les utilisateurs, tels que l’offre de téléchargements sur des liens non sécurisés ou l’utilisation de formulaires qui ne soumettent pas de données en toute sécurité. »

Chrome 86 va bloquer ou alerter l’utilisateur dès lors qu’il est sur le point de télécharger un élément non sécurisé depuis une page sécurisée. À terme, les pages en HTTPS seront obligées d’utiliser des liens sécurisés pour proposer des téléchargements, sans quoi Chrome bloquera automatiquement le contenu.

Google a apporté une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. Lorsque l'internaute va naviguer au sein des différentes rubriques d'un site, Google envisage de n'afficher que le nom de celui-ci dans la barre d'adresse. Par exemple, au lieu de «https://www.developpez.com/actu/3060...communication/ » apparaîtra simplement « developpez.com ». Bien entendu, il est possible d'ignorer ce comportement en choisissant l'option « Toujours afficher les URL en entier ».


L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants.

Dans un billet de blog, l'équipe de sécurité de Chrome a expliqué que :

« Sur le Web d’aujourd’hui, les URL restent le principal moyen dont se servent les internautes pour déterminer l’identité et l’authenticité d’un site, mais nous savons que les URL souffrent de problèmes d’utilisation. Par exemple : les attaquants peuvent manipuler les URL de multiples façons pour induire les utilisateurs en erreur sur l'identité d'un site Web, ce qui conduit à un hameçonnage effréné, à l'ingénierie sociale et aux escroqueries. Dans une étude, plus de 60 % des utilisateurs ont été trompés lorsqu'un nom de marque trompeur est apparu dans le chemin d'une URL.

« Différents navigateurs abordent ce défi de plusieurs manières, notamment en affichant uniquement le domaine par défaut ou en mettant en évidence visuellement le domaine enregistrable (la partie ‘la plus significative’ du nom de domaine). Dans Chrome 86, nous allons également expérimenter la façon dont les URL sont affichées dans la barre d'adresse sur les plateformes desktop. Notre objectif est de comprendre, grâce à une utilisation réelle, si l'affichage des URL de cette manière aide les utilisateurs à se rendre compte qu'ils visitent un site Web malveillant et les...