Les sites non https bientôt bloqués sur Google Chrome

Le 6 février dernier Joe Deblasio a fait une annonce qui devrait faire réfléchir tous les éditeurs de site internet qui n’ont toujours pas fait le nécessaire pour passer leur site en HTTPS.

En effet, cela fait déjà quelques années (2017) que Google l’avait dit « les sites non https seront pénalisés dans leur référencement et se verront positionnés sous les sites qui sont en https ».

Cette fois, c’est pire car non seulement d’être mal référencé (ce qui est déjà extrêmement pénalisant), les sites qui ne sont en https seront bloqués sur Google Chrome.

Joe Deblasio déclare dans son post du 6 février 2020 :

Today we’re announcing that Chrome will gradually ensure that secure (HTTPS) pages only download secure files. In a series of steps outlined below, we’ll start blocking « mixed content downloads » (non-HTTPS downloads started on secure pages). This move follows a plan we announced last year to start blocking all insecure subresources on secure pages.

https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Joe DeBlasio

Traduction : « Aujourd’hui, nous annonçons que Chrome s’assurera progressivement que les pages sécurisées (HTTPS) téléchargent uniquement des fichiers sécurisés. Dans une série d’étapes décrites ci-dessous, nous allons commencer à bloquer les «téléchargements de contenu mixte» (les téléchargements non HTTPS ont commencé sur des pages sécurisées). Cette décision fait suite à un plan que nous avons annoncé l’année dernière pour commencer à bloquer toutes les sous-ressources non sécurisées sur les pages sécurisées. »

Il poursuit en expliquant que les sites non https proposant de télécharger des fichiers de manière non sécurisée constitueront un risque à la fois pour la sécurité mais aussi pour la confidentialité des internautes.

Concrètement si nous prenons l’exemple de programmes téléchargés sur des sites non https ou de manière non sécurisée, ils pourraient être échangés par des logiciels contenants du code malveillants que des attaquants auraient mis en place afin de pouvoir s’en prendre à vos systèmes et données échangées.

Il pourrait même alors être possible à ces attaquant de lire des relevés bancaires d’utilisateurs qui les auraient téléchargés de manière non sécurisée.

Pour veiller face à de tels risques, Google projète de supprimer la prise en charge de tous les téléchargements non sécurisés dans Chrome.

Joe Deblasio poursuit son article en expliquant As a first step, we are focusing on insecure downloads started on secure pages. These cases are especially concerning because Chrome currently gives no indication to the user that their privacy and security are at risk.
Starting in Chrome 82 (to be released April 2020), Chrome will gradually start warning on, and later blocking, these mixed content downloads. File types that pose the most risk to users (e.g., executables) will be impacted first, with subsequent releases covering more file types. This gradual rollout is designed to mitigate the worst risks quickly, provide developers an opportunity to update sites, and minimize how many warnings Chrome users have to see.

https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Dans un premier temps, nous nous concentrons sur les téléchargements non sécurisés démarrés sur des pages sécurisées. Ces cas sont particulièrement préoccupants, car Chrome ne donne actuellement aucune indication à l’utilisateur que leur vie privée et leur sécurité sont menacées.

À partir de Chrome 82 (qui sera publié en avril 2020), Chrome commencera progressivement à avertir et à bloquer ultérieurement ces téléchargements de contenu mixte. Les types de fichiers qui présentent le plus de risques pour les utilisateurs (par exemple, les exécutables) seront affectés en premier, les versions ultérieures couvrant davantage de types de fichiers. Ce déploiement progressif est conçu pour atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d’avertissements que les utilisateurs de Chrome doivent voir.

Pour vous donner une idée des évolutions de Google Chrome et connaitre les prochaines restrictions qui seront mise en place dans les prochaines mises à jour du navigateur, voici un petit récapitulatif :

Les prochaines mises à jour de Google Chrome
  • Dans Chrome 81 (sorti en mars 2020) et versions ultérieures:
    • Chrome affichera un message d’ avertissement sur tous les téléchargements de contenu mixte.
  • Dans Chrome 82 (sorti en avril 2020):
    • Chrome met en garde contre les téléchargements de contenu mixte d’ exécutables (par exemple .exe .apk etc.).
  • Dans Chrome 83 (sorti en juin 2020):
    • Chrome bloquera les exécutables à contenu mixte
    • Chrome avertira les archives de contenu mixte (.zip .rar etc.) et les images de disque (.iso).
  • Dans Chrome 84 (sorti en août 2020):
    • Chrome bloquera les exécutables, les archives et les images de disque à contenu mixte
    • Chrome avertit de tous les autres téléchargements de contenu mixte, à l’ exception des formats d’image, audio, vidéo et texte.
  • Dans Chrome 85 (sorti en septembre 2020):
    • Chrome avertit des téléchargements de contenu mixte d’ images, d’audio, de vidéo et de texte
    • Chrome bloquera tous les autres téléchargements de contenu mixte
  • Dans Chrome 86 (sorti en octobre 2020) et au-delà:
    • Chrome bloquera tous les téléchargements de contenu mixte.

Chrome retardera le déploiement pour les utilisateurs d’Android et iOS d’une version, ce qui déclenchera des avertissements dans Chrome 83.

Les plates-formes mobiles ont une meilleure protection native contre les fichiers malveillants, et ce délai donnera aux développeurs une longueur d’avance vers la mise à jour de leurs sites avant d’avoir un impact sur les utilisateurs mobiles.


Les développeurs peuvent empêcher les utilisateurs de voir un avertissement de téléchargement en s’assurant que les téléchargements utilisent uniquement HTTPS.

Dans la version actuelle de Canary Chrome ou Chrome 81 une fois libéré, les développeurs peuvent activer un avertissement sur tous les téléchargements de contenu mixte pour tester en activant un indicateur « Traiter les téléchargements à risque de connexions non sécurisées comme contenu mixte actif » à chrome: //flags/#treat-unsafe-downloads-as-active-content.

Les clients des entreprises et de l’éducation peuvent désactiver le blocage sur une base par site via le InsecureContentAllowedForUrls en ajoutant un modèle correspondant à la page demandant le téléchargement.

https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Pour conclure son article, Joe DeBlasio indique qu’à l’avenir, Google prévoit de restreindre tous les téléchargements qui ne sont pas sécurisés dans Google Chrome et qu’ils encourageent tous les développeurs à migrer la totalité de leur site vers HTTPS afin d’éviter les futures restrictions mais aussi et surtout de protéger totalement leurs utilisateurs.

Finalement ce n’est que du bon sens pour rassurer les internautes, ils pourront naviguer sur internet en étant certain qu’aucune données sensibles ne soient interceptées par des attaquants malveillant.

Source : https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Tags: , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *