Chrome met fin à sa guerre contre les URL de la barre d'adresse, du moins pour le moment. Il y a environ un an, Chrome a commencé à expérimenter la suppression de l'URL affichée dans la barre d'adresse au seul nom de domaine, donc au lieu de quelque chose comme « https://www.developpez.com/actu/3060...communication/ », la barre d'adresse n'afficherait que « developpez.com » et vous n'auriez aucune idée de l'endroit où vous vous trouvez dans le répertoire du site.Début 2014, Google semblait vouloir apporter une modification au comportement de son Omnibox, la barre d’adresse qui peut être utilisée à la fois pour effectuer des recherches sur le web (le moteur de recherche par défaut étant paramétrable) ou entrer une URL. Dans la version de Chrome Canary build 36, il était possible d'activer une option permettant de masquer l'URL complète d'un site consulté. Lorsque l'internaute naviguait au sein des différentes rubriques d'un site, seul le nom de celui-ci s'affichait dans la barre d'adresse. Dans cette mouture, pour accéder à la totalité de l'URL, il suffisait de cliquer le bouton « Origin Chip » sur le nom de domaine. Pour avoir accès à cette option, il était nécessaire d’activer le flag « Enable origin chip in the Omnibox » depuis chrome://flags.
L’un des objectifs derrière cette manœuvre était de fournir un rempart face aux attaques phishing, une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. L’une des clés du succès de ses attaques réside dans le fait de persuader sa victime qu’elle s’adresse à un site de confiance pour lui soutirer en douce ses renseignements personnels (numéro de carte de crédit, date de naissance, pseudo/MDP …). Avec des URL à rallonge, le navigateur peut tromper l'internaute et ainsi faciliter les tentatives de phishing de sites malveillants.
Mais plusieurs personnes n’ont pas manqué de faire entendre leur voix sur le sujet. Les avis étaient plutôt partagés, même au sein de l’équipe Chrome. Par exemple, Paul Irish a déclaré « J’imagine que cela aidera à défendre contre le hameçonnage » avant de rajouter « mon opinion personnelle est que c’est un très mauvais changement qui représente l’antithèse des objectifs de Chrome. »
Jake Archibald, un développeur Chrome, a soutenu la fonctionnalité : « trouvez quelqu’un qui ne travaille pas dans un domaine technologique, montrez-lui le site de sa banque, et demandez-lui ce que lui apprend l’URL. Mon expérience m’enseigne que la plupart des utilisateurs ne savent pas quelles parties de l’URL sont les signaux de sécurité. » Par la suite il a affirmé que « les navigateurs ont arrêté d’afficher les pseudonymes/MDP dans les URL parce que ça facilitait le hameçonnage. C’est une progression naturelle .»
La communauté developpez.com s’est également exprimée sur le sujet. Sodium par exemple a estimé que ce n’était pas la bonne approche : « Infantiliser les utilisateurs ne me semble jamais être une bonne chose. C'est parce qu'ils ne comprennent pas l'informatique qu'ils se font avoir par des tentatives de fraude souvent grossières. Moins ils comprendront ce qu'il se passe derrière leur machine, plus il y aura de risques de tomber dans les pièges d'Internet ». Même son de cloche pour mrqs2crbs qui a noté : « je crois surtout qu'il faut apprendre aux utilisateurs à lire correctement. Parce que, juste dire : "ça va vous protéger, vous n'aurez besoin de rien connaître", ça sonne surtout comme une grosse embrouille ».
Pour sizvix, cela pouvait cacher une stratégie de Google : « Éloigner encore un peu plus les utilisateurs des URL pour les rapprocher du moteur de recherche bien sûr »
Vanquish note : « IE affiche déjà la partie la plus significative de l'URL en noir, alors que le reste est en gris. Ça va un peu dans le même sens. Il faut voir la réalisation. Si en cliquant sur un bouton j'ai accès et peux modifier l'URL complète (c'est parfois utile), ça me va. Car pour l'utilisateur lambda, je partage le point de vue sur la complexité des URL : combien d’utilisateurs ne font pas la différence entre la zone d'URL et le champ de recherche de la page Google qui leur sert de homepage ».
Bon gré mal gré, Google a mis son projet au placard, notamment après le tollé que cela a provoqué en plus de la découverte de faiblesses dans la fonctionnalité « Origin Chip » par PhishMe, entreprise spécialisée dans les programmes de tests d’attaques de phishing, après seulement quelques tests.
Pourtant, quelques années plus tard, en 2020, l’entreprise est revenue de plus belle avec son projet. Quelques indicateurs de fonctionnalité sont apparus dans les canaux Dev et Canary de Chrome (V85), qui modifient l'apparence et le comportement des adresses Web dans la barre d'adresse. L'indicateur principal est appelé « Omnibox UI Hide Steady-State URL Path, Query, and Ref » qui masque tout dans l'adresse Web actuelle, à l'exception du nom de domaine.
La marche arrière (temporaire ?) de Google
Dans un billet sur le traceur de bogues Chromium, l'éditeur de Chrome a annoncé qu'il renonçait à cette idée. En juin 2020, au début de l'expérience, l'ingénieur de Google Emily Stark a expliqué que la société expérimentait un affichage d'URL simplifié « pour comprendre si cela aidait les utilisateurs à identifier les sites Web malveillants avec plus de précision ». C'est un an plus tard que Stark a indiqué que « l'expérience de domaine simplifiée » sera supprimée de la base de code, en expliquant que « cette expérience n'a pas apporté les métriques de sécurité pertinentes, nous n'allons donc pas la lancer. »
Le navigateur Safari d'Apple masque également les URL de ce type.
L'équipe Chrome n'a pas peur de faire exploser les normes Web existantes et a déclaré publiquement qu'elle voulait supprimer l'URL. Elle n'a tout simplement pas encore trouvé comment. Il ne serait donc pas surprenant de voir Google revenir à la charge.
Aujourd'hui, Chrome ne masque que le "https://" au début de l'URL, mais vous pouvez le désactiver sur les ordinateurs de bureau en cliquant avec le bouton droit sur la barre d'adresse et en cochant « toujours afficher les URL complètes ».
Source : Chromium
Et vous ?
Êtes-vous pour ou contre le fait de masquer les URL de la barre d'adresse ? Êtes-vous surpris par les conclusions de Google ? Dans quelle mesure ?Voir aussi :
Google indique que son navigateur Chrome est désormais 23 % plus rapide, grâce à des améliorations apportées au moteur JavaScript dans Chrome 91 Une vulnérabilité permet le suivi d'utilisateurs sur les navigateurs Chrome, Firefox, Safari et Tor, les utilisateurs sur VPN ou en mode incognito ne sont pas épargnés, selon FingerprintJS Payeriez-vous 30 $ par mois pour un navigateur Web plus rapide et moins gourmand en batterie ? Mighty, un navigateur Chrome basé dans le cloud, consommerait 10 fois moins de mémoire que ce dernier La version stable de Google Chrome 90 est publiée avec HTTPS comme protocole par défaut, elle améliorerait la sécurité ainsi que la vitesse de chargement des sites Web, selon Google 
Envoyé par Stéphane le calme
