Sécurité

Google Chrome va bloquer les contenus non sécurisés sur les sites HTTPS

Le HTTPS ne signifie pas que le site web est sécurisé, mais il garantit que la connexion entre vous et le serveur de destination sera cryptée, évitant ainsi l’interception des données. Mais il y a un problème : ces pages peuvent encore charger certains types de contenu par le biais d’une connexion non protégée. Cela change du Chrome 79, qui sera publié en décembre.

Actuellement, les navigateurs bloquent déjà une partie du “contenu mixte”, c’est-à-dire les fichiers servis par HTTP dans les sites HTTPS. La restriction s’applique, par exemple, aux codes JavaScript ou aux cadres externes (iframes). S’ils ne peuvent pas être servis par une connexion cryptée, ils ne peuvent pas non plus être demandés par Chrome.

Toutefois, il est toujours possible de télécharger des images, des vidéos et du son via HTTP. Cela permet d’éviter les ruptures d’affichage des pages, mais peut entraîner des problèmes de sécurité. Par exemple, un attaquant peut altérer une image mixte d’un graphique boursier pour tromper les investisseurs, ou injecter un cookie de suivi dans une ressource mixte”, explique Google.

  Uber teste à nouveau les voitures dans les rues

De plus, l’expérience de l’utilisateur avec un contenu mixte est “déroutante” selon Google, car “la page n’est présentée ni comme sécurisée, ni comme non sécurisée, mais comme quelque chose entre les deux”. Dans le cas de Chrome, vous avez peut-être déjà vu (et vous le voyez peut-être en ce moment même) lorsque la barre d’adresse affiche le message “Votre connexion à ce site n’est pas complètement sécurisée”.

Pour éviter les problèmes, Chrome bloquera progressivement les contenus dangereux sur les sites HTTPS. La préparation commence dans Chrome 79, qui arrive en décembre : il disposera d’une nouvelle option pour déverrouiller les contenus mixtes en cliquant simplement sur l’icône du cadenas, puis sur “Paramètres du site”.

Dans Chrome 80, dont la sortie est prévue en janvier 2020, le blocage commence effectivement : tous les contenus audio et vidéo mixtes seront demandés via HTTPS ; s’ils ne se chargent pas, ils ne seront pas affichés. Les images seront toujours téléchargées, mais le navigateur affichera clairement le message “Pas sûr” dans la barre d’adresse.

  Peu de gens changent de mot de passe après une fuite de données, souligne une étude

Enfin, en février 2020, dans le Chrome 81, tout le contenu des sites HTTPS sera demandé uniquement par HTTPS. Toute image, audio ou vidéo diffusée par une connexion non sécurisée sera bloquée par défaut. Google recommande aux sites web de migrer tout leur contenu vers le HTTPS et d’utiliser des outils tels que Cloudflare pour les aider dans ce processus.

Il convient de rappeler que le protocole HTTP devrait disparaître une fois pour toutes au fil du temps : le nouveau protocole HTTP/3 ne permet plus de se connecter sans cryptage.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire