Chrome améliore sa protection contre l’hameçonnage grâce à une vérification des URL en temps réel
Google améliore la sécurité de Chrome et perfectionne l’option de sécurité « Protection standard » de son navigateur, activée par défaut. Une nouvelle méthode va lui permettre de vérifier plus rapidement si un site visité est potentiellement malveillant. Le navigateur va aller comparer une URL avec une liste de domaines suspects constamment mis à jour sur un serveur distant, le tout de manière anonyme.
Google embarquait jusqu'à présent une liste de domaines dangereux avec son navigateur, utilisée pour vérifier en local si un site inconnu est potentiellement nuisible. Si cette méthode est fonctionnelle, la liste n’est mise à jour que toutes les 30 à 60 minutes : un laps de temps trop long étant donné que la plupart des sites malveillants ne restent en ligne qu’une dizaine de minutes. La nouvelle approche de Google consiste à envoyer un hash des adresses des sites jamais visités par l’internaute à ses serveurs, dans le but d’effectuer une comparaison avec une liste plus fiable.
L’entreprise affirme que tout est fait de manière chiffrée et que l’URL visitée est hachée par le navigateur. Un serveur géré par un tiers reçoit ce paquet chiffré et s’occupe de supprimer les éléments pouvant identifier l’internaute. Une version anonyme est alors envoyée à Google, mélangée avec un mix d’autres requêtes d’utilisateurs. Si Mountain View détecte une URL suspecte, le hash fait le trajet en sens inverse afin d’afficher un avertissement sur l’écran de l’internaute.
Google est bien conscient qu’analyser une partie du trafic de ses utilisateurs a de quoi faire hausser les sourcils. Elle affirme que sa méthode ne lui permet pas de voir simultanément une IP et une URL. Le serveur intermédiaire s’occupant d’anonymiser la version chiffrée des URL est géré par Fastly, qui ne dispose pas des clés pour déchiffrer les hashs. De son côté, Google peut les comparer à sa liste sans savoir de quel internaute ils proviennent.
Google affirme que cette nouvelle méthode devrait réduire de 25 % les tentatives d’hameçonnage. La technique ajoute forcément un peu de latence par rapport à une vérification en local, et Google explique faire une bonne utilisation du cache afin de limiter le nombre de requêtes. Cette nouveauté est dès à présent fonctionnelle sur les dernières versions de Chrome pour ordinateur et sur iOS. Google continue de recommander sa protection « renforcée » pour plus de sécurité, celle-ci se basant sur des algorithmes d’IA pour bloquer les attaques ou alertant si un mot de passe est compromis.
Même sans y associer une IP, avec cette technique, Google peut aussi avoir en quasi temps réel toutes les nouvelles URL visitées par les internautes.
Et les horodater.
Y compris celles qui ne sont pas censés être publique
@moua,
« Même sans y associer une IP, avec cette technique, Google peut aussi avoir en quasi temps réel toutes les nouvelles URL visitées par les internautes. Et les horodater. Y compris celles qui ne sont pas censés être publique. »
Et faire un audimat en temps réel et savoir quels sites privilégier pour placer les pubs de ses clients ?
Business as usual!
😁
@moua
Ils peuvent déjà avec leur dns 8.8.8.8 que beaucoup utilisent.
@moua
Vu qu'elles sont hachées, non. Elles peuvent chercher par force brute mais c'est tout.
Google devrait commencer à chiffrer les mots de passe de ses utilisateurs.
Je ne comprends pas pourquoi tant de personnes utilisent cette daube.
Ça prend des ressources incroyables, ça récupère toutes tes données pour faire de l’argent sur ton dos, ça se fout clairement de la sécurité.
@ChocolateYabberingEgret,
« Je ne comprends pas pourquoi tant de personnes utilisent cette daube. »
👍
Personnellement, je ne comprends pas pourquoi tant de personnes utilisent Android, cet OS moisi du noyau à l'interface !
😁
@Scooby-Doo
Celui d’Apple n’est guère mieux sur d’autres points 🤷♂️
@CorbeilleNews,
« Celui d’Apple n’est guère mieux sur d’autres points »
Admettons ! Lesquels pour m'éclairer à ce sujet ?
😉
@Scooby-Doo
Combien d’années pour choisir un autre moteur de recherche dans Safari, un autre navigateur, un autre client mail, une autre application pour la musique par défaut
Je rage a chaque fois que j’allume une enceinte ou l’autoradio Bluetooth et qu’Apple musique me lance par défaut l’album de U2 reçu gratuitement alors que l’app musique est éteinte et que Spotify est en veille : il y a un net choix de préférence par défaut !
De plus cet album de U2 revient systématiquement dans l’app Musique même si je le supprime alors qu’il est impossible à contrario de récupérer les morceaux achetés : itunesmusicstore ne résolvant en plus pas ce problème…
C’est quoi ce passage en force alors que l’app musique est killée !!!
Les app que l’on ne peut plus sauvegarder ni restaurer depuis le store et que l’on perd lors d’une bête sauvegarde / restauration le même jour avec le même OS, le même device
Plein d’exemples comme cela …
C’est beau la fermeture par Apple mais moi ça me fais consommer moins car je sais désormais que rien ne peut être pérenne avec Apple. Donc je choisi d’autres solutions multi plateformes comme ça je pars non lié quand cela va trop loin
Ainsi bye bye le mac au quotidien depuis un peu plus de 5 ans
Je n’aime pas trop que l’on m’enferme dans un écosystème, en général j’ai tendance a vouliez en sortir, le fuir et ne plus y revenir définitivement. Dommage que nous soyons si peu a faire ainsi, nous aurions un peu plus de systèmes moins fermés qui profitent un peu trop a leurs concepteurs
On n’a pas tous la même envie de liberté, certains pensent que l’enchaînement est mieux, et bien je leur laisse les menottes 😜
Moi aussi j'ai abandonné le mac pour d'autres raisons, il y a 7 ans. Je suis passé sous Linux.
La fermeture d'Apple concernant le Mac, l'abandon étrange de moult logiciels par la pomme, des choix bloquants, prétendus pour la sécurité des utilisateurs et des prix stratosphériques du hardware au regard de l'équivalent ailleurs, le tout soudé, collé avec un contexte à peine voilé d’obsolescence programmée. Enferment et endoctrinement insupportable. Bye le Mac, sans regrets, et pourtant je fus un utilisateur de 1992 à 2016.
@thauron
Même raisons. Le mac est devenu un ordi grand public pour les riches ou ceux qui vivent au dessus de leurs moyens sans parfois le savoir 😜
Et après ils pleurent des tarifs en cas de panne ou de la nécessité d’un renouvellement prématuré
@CorbeilleNews
Personnellement, je ne pleure pas depuis que je suis passé sur du Apple. Au contraire. Mon entourage me fait bien rire en disant que je paie plus cher pour moins bien. Pardon ? Mon Mac a plus de 10 ans et il roule toujours. Je l’ai donné à un ami dev.
Je viens d’acheter une machine incroyable un MacBook Pro m2, qui ne bug jamais, qui ne chauffe jamais, qui ne souffle jamais. Mon MacBook qui avait dix ans ne soufflait jamais non plus, ni bugguait presque pas. Peut-on dire la même chose pour les machines hors Apple : spoiler non. Tous mon entourage dev ont des machines qui rament, qui bugguent, passer une éternité pour utiliser Docker ou Apache.
Et tout ça pour quel prix au final ? Le même. Oui, le même. Les tarifs des ordinateurs portables sont comparables, sauf que les ordinateurs ne tiennent pas 10 ans, sont en plastique, avec des écrans, des hauts parleurs de mauvaise qualité et une autonomie minable sans parler du design immonde. Mais bon, c’est pas soudé alors vous êtes tranquille ;) vous pourrez toujours demander au service client si jamais… ah… non pardon.
@ChocolateYabberingEgret
Je partage partiellement ce point de vue.
Je suis l’heureux propriétaire d’un MacBook Pro Unibody de 2009, que j’ai pu utilisé jusqu’en 2020~2021, cette machine a été d’un rapport qualité prix absolument incroyable.
Mais la principale raison qui m’a permis d’obtenir cette incroyable longévité, c’est d’avoir pu ouvrir ma machine, changer la RAM et le disque dur par un SSD ainsi que la batterie. J’ai aussi pu installer un second disque dur à la place du lecteur SuperDrive. J’ai fait ça en 2014, soit à peu près à mi vie de l’ordi et bien après la période de couverture de AppleCare.
Les machines vendues par Apple aujourd’hui ne permettent plus de faire cela (c’est un doux euphémisme).
Donc les machines Apple n’auront plus jamais l’incroyable longévité des machines vendues après l’ère Unibody, et c’est bien dommage.
Pour ma part, sauf changement de programme, mon prochain ordinateur sera probablement un laptop Tuxedo ou un Slimbook ou un Framework avec une distribution Linux.
@Scooby-Doo
Je préfère avoir des pub pour chauves, ou des pub pour des syndics, que celles que j'avais avant 🤣
Après respect vie privée c'est vite dit, c'est juste des identifiants pub.
Affirmer que le noyau Linux est moisi est quand même fort de café. xnu doit avec cet argumentaire l'être tout autant... Quand les crétins s'érigent en experts...
@Scooby-Doo
Les téléphones peuvent être bcp plus abordables
@ChocolateYabberingEgret
Les mdp sont chiffrés, où avez-vous lu le contraire ?
@monsieurg33K
https://m.youtube.com/watch?v=CIOsemj3kl4
Chrome stocke les mots de passe en mémoire également, en clair. Une recherche Google permet de voir que ça date depuis un petit moment quand même.
@ChocolateYabberingEgret
Un hacker doit avoir accès à la machine… non, les mots de passes ne sont pas en clair.
@Artefact3000
Rassurez-vous comme vous le voulez mon cher, mais non il n’y a pas besoin d’avoir accès à votre machine si Google garde en mémoire des mots de passe non chiffré. Je vous invite à faire vos recherches. J’ai déjà fourni un lien. Il y en a d’autres. J’aime l’idée du contradictoire, mais tenter de simplement sortir de votre boule de voyant une réponse qui ne repose sur rien… ça n’enlève pas la réalité.
@ChocolateYabberingEgret
J'ai justement regardé votre vidéo. Et il démontre clairement dès le début qu'il a besoin d'avoir accès à la machine. Désolé...
@Artefact3000
Je pensais pourtant avoir indiqué qu’il y avait pléthore d’informations sur le souci que j’indiquais.
Cette vidéo n’indique pas tous les problèmes de Google Chrome, qui sont nombreux. Mais bon, croyez bien ce que vous voulez, je n’ai pas très envie de continuer cette discussion.
Si vous voulez vous informer, vous le pouvez très bien puisque c’est très documenté avec des mots clés comme password plaintext google chrome. 🤷
@ChocolateYabberingEgret
C’est le navigateur le plus sécurisé. Mis à jour très régulièrement. Comme tous logiciels, il n’est pas parfait. Votre croisade m’apparaît frivole.
Lisez donc l’information à la source plutôt que des youtubeurs.
https://support.google.com/chrome/answer/10311524?hl=fr&sjid=17546102435923015157-NA
@ChocolateYabberingEgret
Jamais entendu parler de hack des mots de passe chez Google. Peut-être que je n’ai pas été attentif.
" La nouvelle approche de Google consiste à envoyer un hash des adresses des sites jamais visités par l’internaute à ses serveurs, dans le but d’effectuer une comparaison avec une liste plus fiable."
là j'ai bloqué, pas compris l'idée
Chrome maintient une liste locale des sites visités, considérant ceux-ci comme sûrs.
Si tu t'apprêtes à visiter un site sur lequel tu n'es jamais allé auparavant alors il faut vérifier l'innocuité du site. Auparavant cette comparaison se faisait via une liste locale (rafraichie toutes les heures). Maintenant le nom du site est envoyé vers un tiers qui va vérifier en temps réel si le site est vérolé.
Sa liste n'est pas forcément "plus fiable" elle est surtout plus à jour.
Je suppose que la liste des sites malveillants qu'on synchronise toutes les heures est un dump de celle du site qui fait les vérifications.
@v1nce29,
« Sa liste n'est pas forcément "plus fiable" elle est surtout plus à jour. Je suppose que la liste des sites malveillants qu'on synchronise toutes les heures est un dump de celle du site qui fait les vérifications. »
👍
Je pense de même !
👌
Comment fastly est rémunéré ?
@v1nce29,
« Comment fastly est rémunéré ? »
Sur Internet, ils vivent tous d'amour et d'eau fraîche !
😁
Il y a une gigantesque marge de progrès pour que les navigateurs signalent les « faux sites » (impôts, Amel, paiement de Netflix etc…) et protéger les utilisateurs.