La fonctionnalité « Navigation sécurisée » de Google Chrome, qui fait apparaître un écran rouge géant lorsque vous essayez de visiter un site Web malveillant, permet d’obtenir des mises à jour en temps réel pour tous les utilisateurs. Google a annoncé le changement sur le blog de sécurité Google. La protection en temps réel signifie naturellement envoyer des données URL à un serveur éloigné, mais Google indique qu’il utilisera une « protection URL préservant la confidentialité » afin de ne pas obtenir une liste de l’intégralité de votre historique de navigation. (Non pas que Chrome ne dispose pas déjà de fonctionnalités qui enregistrent votre historique ou vous suivent.)
La navigation sécurisée se résume essentiellement à vérifier votre site Web actuel par rapport à une liste de mauvais sites connus. L’ancienne implémentation de Google se déroulait localement, ce qui présentait l’avantage de ne pas envoyer l’intégralité de votre historique de navigation à Google, mais cela impliquait de télécharger la liste des mauvais sites à intervalles de 30 à 60 minutes. Il y a quelques problèmes avec les téléchargements locaux. Premièrement, Google affirme que la majorité des mauvais sites existent depuis « moins de 10 minutes », donc une mise à jour de 30 minutes ne les rattrapera pas. Deuxièmement, la liste de tous les mauvais sites Web sur l’ensemble de l’Internet va être très longue et s’allonger constamment, et Google affirme déjà que « tous les appareils ne disposent pas des ressources nécessaires pour maintenir cette liste croissante ».
Si vous souhaitez vraiment fermer les sites malveillants, vous souhaitez effectuer une vérification en temps réel sur un serveur distant. Il existe de nombreuses mauvaises façons de procéder. Une solution consisterait simplement à envoyer chaque URL au serveur distant, et vous doubleriez essentiellement le trafic du site Web Internet pour l’ensemble des 5 milliards d’utilisateurs de Chrome. Pour réduire ces requêtes de serveur, Chrome va plutôt télécharger une liste de noms connus. bien sites, et qui couvriront la grande majorité du trafic Web. Seuls les petits sites inédits seront soumis à une vérification du serveur, et même dans ce cas, Chrome conservera un cache de vos récentes vérifications de petits sites, vous ne vérifierez donc que le serveur la première fois.
Lorsque vous ne figurez pas sur la liste des sites sécurisés connus ou sur le cache récent, les informations sur votre URL Web seront dirigées vers un serveur distant, mais Google indique qu’il ne pourra pas voir votre historique Web. Google vérifie toutes ses URL par rapport aux hachages, plutôt qu’à l’URL en texte brut. Auparavant, Google proposait un mode de « protection renforcée » pour une navigation sécurisée, qui offrait un blocage de sites malveillants plus récent en échange du « partage de davantage de données liées à la sécurité » avec Google. le mode horaire préserve suffisamment la confidentialité pour être déployé par défaut pour tout le monde. Le mode « Amélioré » est toujours présent car il permet « des analyses approfondies des fichiers suspects et une protection supplémentaire contre les extensions Chrome suspectes ».
Il est intéressant de noter que le système de confidentialité implique un serveur relais qui sera géré par un tiers. Google déclare : « Afin de préserver la confidentialité des utilisateurs, nous nous sommes associés à Fastly, une plate-forme cloud de pointe qui fournit des services de diffusion de contenu, de calcul de pointe, de sécurité et d’observabilité, pour exploiter un serveur de confidentialité HTTP Oblivious (OHTTP) entre Chrome et la navigation sécurisée. « .
Pour l’instant, les vérifications à distance de Google, lorsqu’elles se produisent, entraîneront une certaine latence pendant la fin de votre vérification de sécurité, mais Google affirme qu’il est « en train d’introduire un mécanisme asynchrone, qui permettra au site de se charger pendant que la vérification en temps réel est en cours ». « . Cela améliorera l’expérience utilisateur, car la vérification en temps réel ne bloquera pas le chargement de la page. «
La fonctionnalité devrait être disponible dans la dernière version de Chrome pour ordinateur de bureau, Android et iOS. Si vous ne le souhaitez pas, vous pouvez le désactiver dans la section « Confidentialité et sécurité » des paramètres de Chrome.
Image de la liste par Getty Images