Google a récemment amélioré la fonctionnalité de navigation sécurisée de Chrome, ajoutant une protection en temps réel qui, selon l’entreprise, devrait renforcer la confidentialité des utilisateurs. Cette nouvelle version, intégrée au mode Standard de la navigation sécurisée, prétend masquer les URL visitées, augmentant ainsi la protection sans compromettre la vie privée.
Traditionnellement, la fonction de navigation sécurisée de Chrome compilait une liste des URL potentiellement dangereuses, stockée localement sur l’appareil de l’utilisateur. Lorsqu’un site était visité, Chrome vérifiait son URL par rapport à cette liste, déclenchant une alerte en cas de correspondance. Cependant, cette base de données n’était mise à jour que toutes les 30 à 60 minutes, ce qui n’est pas suffisant étant donné que de nombreux sites malveillants sont éphémères, existant souvent moins de 10 minutes.
Pour pallier ce problème, Google a introduit un mode de protection renforcée facultatif, qui utilise la base de données en temps réel de la navigation sécurisée de Google, capable de détecter rapidement les URL dangereuses. Mais ce mode requiert que l’utilisateur partage davantage de données liées à la sécurité.
La nouvelle version prétend résoudre ce dilemme grâce à une API qui occulte les URL visitées, empêchant Google de les voir. Lorsque Chrome rencontre une URL inconnue, il vérifie en temps réel, puis envoie une version chiffrée de l’URL au serveur de confidentialité indépendant de Fastly. Ce serveur élimine tout identifiant potentiel comme les adresses IP et ne peut pas déchiffrer l’URL. Il transmet ensuite l’information à la base de données de la navigation sécurisée via une connexion TLS sécurisée, qui mélange la requête de l’utilisateur avec celles d’autres utilisateurs de Chrome.
Le système peut alors déchiffrer l’URL en une forme de hachage complète, qui continue de masquer l’URL elle-même, et la vérifie par rapport à sa liste. Si une correspondance est trouvée, Google envoie seulement la forme de hachage chiffrée à Google, qui peut ensuite alerter l’utilisateur.
Une confidentialité des activités de navigation
Google affirme que cette méthode permet de garantir la confidentialité des activités de navigation, puisqu’aucune entité unique ne peut voir à la fois l’adresse IP de l’utilisateur et les préfixes de hachage de l’URL. De plus, cette nouvelle fonctionnalité devrait bloquer 25 % de tentatives de phishing en plus. Bien que les modes Standard et Renforcé permettent désormais tous deux la vérification en temps réel, le mode Renforcé offre une protection supplémentaire avec des fonctionnalités avancées comme l’IA pour bloquer les attaques, l’analyse approfondie des fichiers et une protection renforcée contre les extensions Chrome dangereuses.
La fonctionnalité de vérification en temps réel du mode Standard est actuellement disponible sur Chrome pour les ordinateurs de bureau et iOS, et sera déployée sur Android plus tard dans le mois.