Ce site est-il sécurisé ? Pourquoi Chrome 117 va arrêter de vous le dire

Alexandre Schmid
08 mai 2023 à 18h06
20
© CC Photo Labs / Shutterstock.com
© CC Photo Labs / Shutterstock.com

Mal comprise par les utilisateurs, Google va remplacer l'icône de cadenas sur Chrome.

Google annonce qu'à partir de la version 117 de Chrome, dont la sortie est prévue pour le début du mois de septembre 2023, le navigateur n'affichera plus de cadenas dans la barre d'URL sur les sites HTTPS.

Le cadenas ne garantit pas la fiabilité du site web

La firme américaine explique qu'elle avait introduit cette icône de cadenas pour indiquer aux utilisateurs qu'ils visitaient un site sécurisé en HTTPS, à une époque où le HTTP était encore largement majoritaire. Aujourd'hui, plus de 95 % des sites web visités sur Chrome depuis un appareil Windows utilisent le HTTPS, ce qui rend le cadenas bien moins utile.

Par ailleurs, Google a mené des études concluant que les utilisateurs comprennent mal la signification du cadenas. Pour beaucoup d'entre eux, l'icône est un signe que le site web est digne de confiance, alors qu'elle indique seulement que la connexion réseau entre le navigateur et le domaine passe par un canal sécurisé hors d'atteinte d'acteurs tiers.

© Google
© Google

Selon Google, le cadenas est devenu une menace à la sécurité, car il peut mener les utilisateurs à relâcher leur vigilance, alors que la plupart des sites malveillants sont en HTTPS et profitent bien de la fameuse icône.

Une nouvelle icône moins connotée sécurité

Le cadenas va être remplacé par un symbole plus neutre. Google espère qu'il sèmera moins de confusion que l'ancien. Il a été pensé pour que les utilisateurs n'imaginent pas que le site est nécessairement digne de confiance. Il doit aussi inciter à cliquer dessus et accéder aux options que le site cache et être associé à un accès rapide à des paramètres plutôt qu'à une indication de sécurité. Ce qui se cache derrière l'icône restera inchangé.

Le changement sera opéré sur les systèmes d'exploitation de bureau ainsi que sur Android. Sur iOS, l'icône de cadenas n'est pas cliquable, elle sera donc totalement supprimée plutôt que modifiée.

Vous pouvez déjà accéder à la nouvelle icône depuis Chrome Canary, en activant le flag : chrome://flags#chrome-refresh-2023.

Source : Chromium Blog

Alexandre Schmid

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (20)

MattS32
C’est clair qu’avec notamment Let’s Encrypt qui distribue gratuitement des certificats sans aucun contrôle d’identité, la simple présence de HTTPS ne peut plus être considéré comme un gage de sécurité.<br /> Mais c’est finalement en quelque sorte un retour à la normal, car justement le simple fait que la connexion soit chiffrée de bout en bout n’a jamais été une garantie de sécurité, ce qui est essentiel pour que ça soit sécurisé, c’est bien plus l’authentification des parties (qui garanti qu’on s’adresse bien à qui on pense) que le chiffrement de la liaison (qui garanti simplement que personne ne peut facilement écouter ou altérer la communication).
norwy
Ceux qui se suffisent de « garanties » de sécurité sans faire attention sont bien naïfs…<br /> Par exemple, à chaque fois que je vois quelqu’un sortir son portable pour payer sans contact, je pouffe de rire !
MattS32
norwy:<br /> Par exemple, à chaque fois que je vois quelqu’un sortir son portable pour payer sans contact, je pouffe de rire !<br /> Le paiement sans contact avec un smartphone est aujourd’hui plus sûr qu’avec une CB…<br /> Par exemple, à chaque fois ou presque que tu fais un paiement avec ta CB physique (que ça soit avec ou sans contact), le commerçant imprime un ticket commerçant sur lequel figure ton numéro de CB et sa date d’expiration. De quoi ensuite faire de nouvelles transactions avec ta carte (sur n’importe quel TPE avec mode saisie manuelle). Ce ticket, tu n’as aucune maitrise sur ce qu’il devient.<br /> Avec un paiement mobile, le ticket commerçant comporte à chaque transaction un numéro de CB différent, propre à la transaction et ne pouvant donc pas être réutilisé.
negima
Ils ne disent pas la vérité. Le but initial était de forcer les webmasters à adopter le https. Ils ont réussi.
MattS32
Bizarre ça, parce que justement sur le ticket commerçant il est censé y être pour pouvoir rejouer la transaction en manuel quand il y a eu un souci… Et c’était bien le cas sur tous les tickets commerçants que j’ai eu entre les mains. Peut-être que dans ton cas c’était un TPE sans mode manuel, et qui du coup ne sort pas l’info ?<br /> Après, en dehors de ça, y a aussi d’autres risques de fuite du numéro lors du paiement, il y en a notamment qui se sont tout simplement entraînés à mémoriser un numéro de CB aperçu… C’est à la base pour ça que le CVV2 était marqué de l’autre côté de la carte, pour que les deux ne soient pas visibles en même temps… Sauf que la nouvelle mode c’est désormais les cartes « lisses » (numéro plus en relief) et avec le numéro au dos, avec le CVV (j’en ai déjà 3 comme ça, Revolut, Curve et Caisse d’Épargne).<br /> En outre, en cas de vol physique, le paiement par téléphone est généralement protégé de façon plus forte que le simple code PIN de la CB, et beaucoup de gens se rendront sans doute bien plus vite compte de la disparition de leur téléphone que de celle de leur CB…
wackyseb
Comment ça le numéro complet sur le ticket commerçant !!!<br /> J’ai jamais vu ça et des tickets j’en ai sorti des tonnes.<br /> J’avais déjà lu ça sur des réseaux sociaux. C’est un HOAX de plus. Une légende urbaine.<br /> Après suivant la configuration du TPE et de la banque, ça doit être faisable . Quoique ?
MattS32
Voilà un exemple de ticket commerçant : https://twitter.com/bobjouy/status/744144829228146689<br /> Ou encore celui là : https://twitter.com/zeb_off/status/1043863907167801345/photo/1 (et là c’est grave, puisque d’après ce qu’il dit, il a reçu en caisse le ticket commerçant de la transaction précédente, parce que le caissier ne l’avait pas arraché…)<br /> Ou encore là : Keetiz City Foliz Inscription (et ici il ne s’agit pas de quelqu’un évoquant la présence du numéro de CB sur le ticket commerçant, donc autant on pourrait éventuellement accuser les deux précédents d’avoir trafiqué les tickets, autant là y a pas de raison…).<br /> Encore un exemple, plus récent ici : JACQUES DESSANGE Mantes-la-jolie - Téléphone, rdv, avis (et là encore, aucune raison que ça soit retouchée… je comprends même pas trop pourquoi il y a ce ticket en pièce jointe du commentaire…).<br /> Et j’ai vérifié, tous les numéros de CB visibles sur ces tickets sont bien des numéros de CB valides.<br /> Également confirmé ici : Ticket carte bancaire : informations et commerçants - Ooreka
wackyseb
Mais tu veux en faire quoi de ce numéro ?<br /> Il manque des informations pour payer genre le CCV ou le code, la double authentification ….<br /> C’est pas une notice le ticket commerçant.<br /> Sinon il y aurait des braquages de papier puis des petits malins détourneraient les numéros pour faire des trucs louches.
MattS32
wackyseb:<br /> Mais tu veux en faire quoi de ce numéro ?<br /> Sur un TPE en mode saisie manuelle, tu n’as pas forcément besoin du CVV. Pour certains paiements Internet non plus (c’est quasi systématique en UE, mais c’est loin d’être le cas partout dans le monde hein…). Idem pour la double authentification, ça n’est pas systématique dans tous les pays (et ça n’existe pas dans le cas d’une saisie manuelle sur TPE).<br /> Peut-être aussi moyen de faire une fausse carte NFC (mais ça me parait plus compliqué là, puisqu’il faudrait réussir à produire les signature cryptographiques qui vont avec le numéro de carte).<br /> Une autre technique qui se fait de plus en plus pour récupérer des infos, c’est les faux TPE. L’attaquant échange discrètement son faux TPE avec le vrai TPE du commerçant, et à chaque paiement par CB, ça transmet les données de la carte à l’attaquant.
Blackalf
Jamais vu ça en Belgique. Si je vois effectivement ce genre de séries de numéros sur des tickets de caisse, ils ne correspondent pas du tout à ceux de mes cartes. Seul le moyen de paiement est mentionné, dans le genre paiement par Bancontact ou par carte de crédit, ou encore la méthode utilisée, par code ou sans contact, mais rien de plus. ^^
MattS32
C’est sur le ticket commerçant, pas sur le ticket client. Le ticket que le commerçant garde pour pouvoir rejouer manuellement la transaction en cas de souci de transmission ou comme preuve en cas de litige (en France, on peut contester une transaction CB jusqu’à un peu plus d’un an après l’avoir faite, et le ticket commerçant peut alors servir de preuve que la transaction a bien été faite avec la carte et le code par exemple).<br /> Sur le ticket client, on a généralement que les 4 derniers chiffres (il y avait les 16 à une époque, mais le passage au numéro partiel remonte à au moins une vingtaine d’années je dirais) :<br /> À priori c’est assez standard comme façon de faire, on trouve la même chose en Australie, en Autriche et en Angleterre (là c’est carrément le site d’un service de CB qui le confirme) par exemple.
wackyseb
Pourquoi tu veux nous pirater nos cartes bleues ?<br /> La transaction bancaire est ultra sécurisée.<br /> Ok pour le faux TPE. Là t’as l’empreinte numérique, le code, et la photo recto verso de la CB. Déjà vu à la TV dans un reportage.<br /> Par contre réutiliser les numéros d’un ticket commerçant, çà j’y crois pas une seconde.<br /> Perso je contacte la banque si j’ai un litige et ils se débrouillent très bien comme çà.<br /> Sur le TPE, je peux consulter mon historique et ressortir un ticket si je le souhaite.<br /> Je peux même faire du négatif pour re-créditer un client, ou un paiement échelonné sans frais.
Aegis
Tu viens de parfaitement illustrer la difficulté de faire comprendre ce qui est sécurisé à l’utilisateur.<br /> Un paiement sans contact est beaucoup plus sécurisé qu’un paiement par carte bancaire.<br /> C’est comme les personnes qui disent ne pas vouloir de serrures électroniques car on peut la hacker. C’est vrai mais il y a des milliers de fois plus de personnes qui savent crocheter une serrure physique.<br /> Il y a plein d’autres exemples contre intuitif qui doivent être pris en compte lors de la fabrication des produits.
MattS32
wackyseb:<br /> Pourquoi tu veux nous pirater nos cartes bleues ?<br /> J’ai pas dit que je veux les pirater. J’essaye juste d’expliquer en quoi une transaction sans contact avec le mobile est aujourd’hui plus sécurisée qu’une transaction avec une CB classique.<br /> wackyseb:<br /> Par contre réutiliser les numéros d’un ticket commerçant, çà j’y crois pas une seconde.<br /> Tu peux ne pays y croire. Mais le fait est que ça se fait. C’est d’ailleurs bien pour limiter les fraudes via les tickets CB que le numéro a fini par être retiré du ticket client, que beaucoup de clients abandonnent sur place et qui était donc particulièrement facile à voler. C’est aussi sans doute en partie pour ça qu’a été ajouté le CVV. Mais son usage n’est toujours pas imposé systématiquement.<br /> Perso, la seule fraude à la CB dont j’ai été victime, je suis quasiment sûr que c’est comme ça que c’est arrivé d’ailleurs : c’est une CB que je n’ai jamais utilisé ailleurs qu’en magasin. Donc très probablement un relevé du numéro sur le ticket commerçant puis une utilisation à un endroit où le CVV n’est pas exigé. Sachant que le CVV, il n’a pas pu être relevé, même si c’est quelqu’un qui a vu ma carte, il est gratté sur les conseils d’une connaissance chercheur en sécurité.
wackyseb
Admettons.
jvachez
Oui le https ne sert à rien. En gros c’est l’équivalent de la langue dans le monde courant.<br /> Si la personne en face est un escroc, lui parler dans une autre langue ne changera rien au problème.
Blap
L’utilité du HTTPS n’a rien à voir avec le sujet, et le https est indispensable, très loin du « ne sert à rien »
dFxed
Si tu en doutais encore :<br /> Il est tout a fait possible de récupérer le ccv et la date a partir d’un numéro de carte.<br /> Au début du masquage des numéros de CB, les tpe ne masquaient que quelques caractères.<br /> Avec 2 tickets de 2 tpe différents, tu arrivais à reconstruire le numéro entier ou presque.<br /> Pour l’annecdote, ça m’est arrivé d’avoir besoin de reconstruire le numéro de ma CB, suite à la réservation d’un billet de train un peu trop en amont avec une CB que j’avais détruit ensuite.<br /> Il me manquait 1 numéro, la guichetière SNCF a fait le reste. C’était en 2011, et j’aurais pu ne pas être celui que je prétendait.<br /> nextinpact.com – 6 Dec 16<br /> Carte bancaire Visa : des informations récupérables par force brute, la...<br /> Des chercheurs pointent du doigt un problème concernant les cartes bancaires Visa : il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et le code postal du propriétaire à partir du numéro de la c...<br />
MattS32
Sur une transaction CB classique, avec ou sans contact, le ticket commerçant contient suffisamment d’informations pour faire des transactions frauduleuses avec ta carte : numéro de CB et date d’expiration. Ce qui suffit dans pas mal de pays. Et comme expliqué au-dessus, si c’est une Visa y a moyen de bruteforcer le CVV.<br /> En cas de transaction sans contact par téléphone par contre il n’y a pas ton numéro de CB sur le ticket (du moins avec Apple Pay et Google Pay, mais je suppose que les autres font pareil) : un numéro à usage unique est généré pour chaque transaction.<br /> Il n’y a que si la transaction du commerçant n’est pas passée que le numéro reste utilisable, une seule fois (donc ça permet quand même au commerçant de faire un rejeu en saisie manuelle en cas de souci).<br /> Et le CVV dynamique, c’est bien, mais ça n’empêche les fraudes que chez les commerçants qui utilisent le CVV… Ce n’est pas toujours le cas en saisie manuelle sur TPE en Europe, et dans le reste du monde même sur Internet ce n’est pas systématique.<br /> EDIT : en fait pour Google Pay j’ai un doute, d’après mes derniers tickets client, ce n’est pas un numéro à usage unique pour les transactions en magasin, mais ça reste un numéro distinct de celui de la carte physique (le Virtual Account Number) et non utilisable pour des paiements en ligne. Et il est possible de l’invalider et de le changer en réenregistrant la CB dans Google Pay. Pourtant certaines sources parlent bien d’un numéro à usage unique aussi avec Google Pay. Peut-être que ça dépend aussi de la banque ?
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Google Chrome va bientôt vous empêcher certains téléchargements Google Chrome va bientôt vous empêcher certains téléchargements
Google Chrome : attention à ce message qui vous invite à mettre à jour votre navigateur Google Chrome : attention à ce message qui vous invite à mettre à jour votre navigateur
Chrome : les économiseurs d'énergie et de mémoire sont là, voilà comment les activer Chrome : les économiseurs d'énergie et de mémoire sont là, voilà comment les activer
Chrome sur Android : vous pouvez désormais vraiment protéger vos onglets privés, voilà comment Chrome sur Android : vous pouvez désormais vraiment protéger vos onglets privés, voilà comment
Chrome 111 est là, mettez-vous à jour ! Chrome 111 est là, mettez-vous à jour !