En partant de la popularisation des mises à jour automatiques à la promotion agressive du cryptage Web via HTTPS, l'équipe de sécurité de Chrome aime lutter contre les grands problèmes conceptuels.
Cette portée et cette influence peuvent être divisées cependant, et comme Chrome se projette dans les 10 prochaines années, l'équipe Chrome prépare encore son initiative la plus controversée : repenser fondamentalement les URL à travers le Web.
Les URLs ou Uniform Resource Locators sont les adresses Web familières que vous utilisez tous les jours. Elles sont répertoriées dans le carnet d'adresses du DNS du Web et redirigent les navigateurs vers les bonnes adresses du Protocole Internet qui identifie et différencie les serveurs Web.
En bref, les URL sont une création du World Wide Web et sont utilisées pour identifier les pages et les sites web. Elles sont aussi appelées adresses web.
Ainsi, vous accédez, à tout hasard, à Arobasenet.com pour lire des articles de sorte que vous n'avez pas à gérer les protocoles de routage complexes et des chaînes de numéros. Mais avec le temps, les URLs seraient devenues de plus en plus difficiles à lire et à comprendre.
Et d’après Wired.com qui relaie cette info, comme la fonctionnalité Web s'est développée, les URL sont de plus en plus devenues des chaînes inintelligibles de charabia combinant des composants de tierces parties ou sont masquées par des liens raccourcis (ex : t.co ou bit.ly) et des schémas de redirection.
Et sur les appareils mobiles, il n'y a pas assez de place pour afficher une grande partie d'une URL à tous.
L'opacité qui en résulte a été une aubaine pour les cyber-criminels qui créent des sites malveillants pour exploiter la confusion.
Ils empruntent l'identité des institutions légitimes, lancent des stratagèmes de phishing, provoquent des téléchargements malveillants et exécutent des services Web bidons, tout cela parce qu'il est difficile pour les internautes de garder une trace de qui ils visitent.
Maintenant, l'équipe Chrome dit qu'il est temps pour un changement massif. Et Adrienne Porter Felt, Directrice Technique de Chrome, de préciser :
Les gens ont vraiment du mal à comprendre les URLs. Elles sont difficiles à lire, il est difficile de savoir quelle partie d'entre elles est censée être digne de confiance.
Et, en général, je ne pense pas que les URL fonctionnent comme un bon moyen de transmettre l'identité du site.
Donc, nous voulons aller vers un endroit où l'identité du Web est compréhensible par tout le monde pour que les gens sachent à qui ils parlent quand ils utilisent un site Web et qu’ils puissent raisonner pour savoir s'ils peuvent leur faire confiance.
Mais cela signifie de grands changements sur comment et quand Chrome affiche les URL.
Nous voulons défier la façon dont les URL devraient être affichées et nous poser la question, car nous sommes sur la bonne voie pour trouver la bonne façon de transmettre l'identité.
Si vous avez un moment difficile pour penser à ce qui pourrait éventuellement être utilisé à la place des URL, vous n'êtes pas seuls. Les universitaires ont envisagé des options au fil des années, mais le problème n'a pas une réponse facile.
Adrienne Porter Felt et son collègue Justin Schuh, Ingénieur principal de Chrome, disent que même l'équipe Chrome elle-même est toujours divisée sur la meilleure solution à proposer. Et le groupe n'offrira pas d'exemples à ce stade des types de schémas qu'il envisage.
L'accent en ce moment, disent-ils, est mis sur l'identification de toutes les façons dont les gens utilisent les URL pour essayer de trouver une alternative qui permettra d'améliorer la sécurité et l'intégrité de l'identité sur le Web, tout en ajoutant la commodité pour les tâches quotidiennes comme le partage de liens sur les appareils mobiles.
Parisa Tabriz, Directrice de l'ingénierie chez Chrome, ajoute ceci :
Je ne sais pas à quoi cela va ressembler, parce que c'est une discussion active dans l'équipe en ce moment.
Mais je sais que tout ce que nous proposons va être controversé. C'est l'un des défis avec une plate-forme très ancienne et ouverte et tentaculaire.
Le changement sera controversé quelle que soit la forme qu'il prend. Mais il est important que nous fassions quelque chose, parce que tout le monde n'est pas satisfait des URLs.
L'équipe de Chrome a pensé à la sécurité de l’URL depuis longtemps déjà.
En 2014, elle a essayé une fonctionnalité de mise en forme appelée “Origin Chip” qui n'affichait que le nom de domaine principal des sites (je vous en parlais déjà en Mai 2014 ici) pour aider à s'assurer que les utilisateurs sachent sur quel nom de domaine ils sont effectivement en train de naviguer actuellement.
Si vous vouliez voir l'URL complète, vous pouviez cliquer sur la puce et le reste de la barre d'URL était juste une boîte de recherche Google.
L'expérience a recueilli des éloges de certains pour rendre l'identité Web plus simple, mais elle a également suscité des critiques. Quelques semaines après avoir présenté une pré-version Chrome, Google a suspendu le déploiement de “origin chip”.
Adrienne Porter Felt, Directrice Technique de Chrome, révèle :
L’origin chip ou la puce d'origine a été la première incursion de Chrome dans l'espace.
Nous avons découvert beaucoup de choses sur la façon dont les gens pensent et utilisent les URL. Mais franchement, l'espace de problème s'est avéré plus difficile que nous nous attendions.
Nous utilisons les commentaires que nous avons reçus en 2014 pour informer notre nouveau travail.
De même, Parisa Tabriz, Directrice de l'ingénierie chez Chrome, fait remarquer :
L'équipe a fait face à beaucoup de désapprobations pour son initiative de cryptage Web via HTTPS.
La transition de Chrome pour traiter les sites cryptés en standard et signaler les sites non cryptés via HTTPS comme “non sécurisés” semblait radicale au début. Mais l'équipe a collaboré avec d'autres navigateurs et entreprises de technologie pour répandre le changement sur le Web et promouvoir les connexions chiffrées qui protègent la vie privée des utilisateurs.
Quelque chose d'aussi basique que le HTTPS, tout le monde dans la communauté de la sécurité est d'accord avec. Mais dès que vous faîtes un changement, les gens "flippent". Donc quoi que nous fassions ici, je sais que ça va être controversé. Cela prend juste un long moment.
Porter Felt dit que le groupe sera plus prêt à parler publiquement de ses idées cet automne ou au printemps prochain.
Et le groupe Chrome note que l'objectif n'est pas de bouleverser les URLs au hasard, mais d'améliorer une vision qui est déjà en place, étant donné que l'identification de l'entité est la base du modèle de sécurité globale du Web.
Mais quand cela provient d'une entreprise aussi influente que Google, et l'une avec un tel intérêt puissant investi dans la façon dont les gens naviguent et utilisent le Web, le contrôle de la communauté de toute proposition que Google met en avant sera crucial.
Pour ma part, je pense que cet article repris de Wired est une grande campagne de communication et de lobbying de la part de Google pour préparer les esprits avant l’annonce de son projet de suppression des URL des sites Web qui doit, en fait, être prêt.
Affaire à suivre.
