Chrome 68 devient la première version du navigateur à marquer les sites HTTP comme étant non sécurisés
Chrome 68 devient la première version du navigateur à marquer les sites HTTP comme étant non sécurisés,
et s'accompagne d'autres fonctionnalités
Google a amorcé le déploiement de Chrome 68 pour Windows, Mac et Linux. La version inclut l'API Page Lifecycle, l'API Payment Handler et une modification de la façon dont le navigateur étiquette les sites HTTP : Chrome 68 est la première version du navigateur a marqué les sites HTTP comme étant "non sécurisés" directement dans la barre d'adresse.
Expliquant cette mesure en mai, l’équipe Chrome a rappelé qu’une forte majorité du trafic de Google Chrome est cryptée. C’est près de quatre-vingt-un sur 100 des sites Web les plus importants qui sont par défaut accessibles en HTTPS. C’est « Sur la base du taux impressionnant de migrations des sites vers HTTPS et de la forte augmentation de cette année » que Google a décidé de mettre en place cette mesure dès le mois de juillet, a déclaré Emily Schechter, responsable des produits de sécurité du navigateur Web. Et d’ajouter qu’il « pense qu'en juillet, la balance sera suffisamment avancée pour que tous les sites HTTP » puissent être marqués comme étant non sécurisés.
HTTPS est une version plus sécurisée du protocole HTTP utilisé sur Internet pour connecter les utilisateurs à des sites Web. Les connexions sécurisées sont largement considérées comme une mesure nécessaire pour réduire le risque que les utilisateurs soient vulnérables à l'injection de contenu (ce qui peut entraîner une écoute indiscrète, des attaques de type «man-in-the-middle» et d'autres modifications de données). Les données sont conservées à l'abri des tiers et les utilisateurs peuvent être plus sûrs de communiquer avec le bon site Web.
Google a multiplié les initiatives pour pousser l’adoption du HTTPS sur le Web depuis des années. Cependant, l’entreprise a accéléré ses efforts l'année dernière en apportant des changements à l'interface utilisateur de Chrome. Chrome 56, publié en janvier 2017, a commencé à marquer les pages HTTP qui collectent les mots de passe ou les cartes de crédit comme non sécurisées. Chrome 62, publié en octobre 2017, a commencé à marquer les sites HTTP avec des données saisies ainsi que tous les sites HTTP en mode de navigation privée comme étant “non sécurisés«.
En conséquence, l’année dernière, plus de 85% du trafic Chrome sur Chrome OS et Mac étaient alors désormais HTTPS, tandis que 76% du trafic Chrome sur Android et Windows est également HTTPS.
Avec Chrome 68, voici comment les sites HTTP apparaissent maintenant dans la barre d'adresse:
Voici comment Google explique l’idée sous-jacente de ce changement : « La nouvelle interface de Chrome aidera les utilisateurs à comprendre que tous les sites HTTP ne sont pas sécurisés et continuera de promouvoir l’adoption du HTTPS sécurisé par défaut sur le Web. HTTPS est plus facile et moins cher que jamais, et il permet de débloquer à la fois des améliorations de performance et de nouvelles fonctionnalités puissantes qui sont trop sensibles pour HTTP ».
Une décision qui ne fait pas l’unanimité
Ce choix suscite la controverse et est susceptible de causer des problèmes pour de nombreux propriétaires de sites, qui recevront très probablement des plaintes de certains utilisateurs paniqués.
Selon la télémétrie Cloudflare, 542 605 des sites figurant dans son top 1 million n'utilisent pas ou ne redirigent pas les utilisateurs vers une version HTTPS, ce qui signifie qu'un grand nombre d'utilisateurs verront probablement un indicateur "Non sécurisé" à côté de la plupart des sites qu'ils visitent lorsqu’ils feront la mise à jour vers Chrome 68.
Prochaines étapes ?
Google ne prévoit plus d'afficher un indicateur "sécurisé" et affichera uniquement un marqueur "Non sécurisé" lorsque les utilisateurs se trouvent sur des sites qui ne disposent pas d'une sécurité adéquate, tels que ceux fournis via HTTP.
À ce propos, Emily Schechter expliquait que « Les utilisateurs doivent s'attendre à ce que le Web soit sécurisé par défaut, et ils seront avertis en cas de problème. Étant donné que nous commencerons bientôt à marquer toutes les pages HTTP comme étant “non sécurisées”, nous supprimerons les indicateurs de sécurité positifs de Chrome afin que l'état non marqué par défaut soit sécurisé. Chrome va l’implémenter au fil du temps, en commençant par supprimer le libellé "Secure" et le schéma HTTPS en septembre 2018 (Chrome 69) ».
Et de continuer en disant « qu’auparavant, l'utilisation de HTTP était trop élevée pour marquer toutes les pages HTTP avec un avertissement rouge fort, mais en octobre 2018 (Chrome 70), nous commencerons à afficher l'avertissement rouge “non sécurisé” lorsque les utilisateurs saisissent des données sur des pages HTTP ».
En clair, à compter de septembre 2018, Chrome va cesser de marquer les sites HTTPS comme étant « sécurisés » dans sa barre d'adresse. Puis, en octobre 2018, Chrome va afficher une étiquette rouge libellée « Non sécurisé » lorsque les utilisateurs vont entrer des données dans des pages HTTP.
Autres améliorations côté sécurité
Chrome 68 apporte des mécanismes de blocage de tactiques souvent employées par les malvertiseurs en ligne.
Par exemple, Chrome bloque désormais les iframes intégrées à une page qui tentent de rediriger la page parent entière vers une autre URL. Ces modifications ont été implémentées progressivement depuis Chrome 64 et ont été entièrement déployées.
La seule façon dont un iframe sera autorisé à rediriger la page principale vers une nouvelle URL n'est que si l'utilisateur a directement interagit avec l'iframe. Comme la plupart des iframes utilisées dans les campagnes de publicité malveillante sont généralement affichées hors écran, cette modification devrait empêcher les publicités malveillantes de rediriger les utilisateurs vers de nouveaux sites, tout en permettant aux pages de connexion SSO ou aux technologies similaires de fonctionner comme prévu.
Ensuite, Chrome bloque désormais complètement les Tab Under. Le Tab Under consiste à intégrer un script à une page pour qu'un nouvel onglet apparaisse avec une publicité ou un autre site par-dessus la page que vous visitiez. Pour ces sites, il s'agit de forcer l'utilisateur à visiter la page d'un annonceur ou partenaire et de générer ainsi des revenus conséquents. Une technique qui est très répandue et sur laquelle vous êtes probablement déjà tombés.
Google a d'abord annoncé le blocage du Tab Under l'année dernière et a lancé un premier mécanisme de blocage dans Chrome 65. Aujourd'hui, Google annonce officiellement cette fonctionnalité, qui affichera des avertissements comme celui ci-dessous chaque fois qu'il bloque un site essayant de dupliquer son onglet et l’utiliser pour afficher des annonces.
Chrome 68 implémente également 42 correctifs de sécurité.
Avec plus d'un milliard d'utilisateurs, Chrome est à la fois un navigateur et une plateforme majeure que les développeurs Web doivent prendre en compte. En fait, avec les ajouts et les changements réguliers de Chrome, les développeurs font souvent le point pour s'assurer qu'ils sont au fait de tout ce qui est disponible, ainsi que de ce qui a été abandonné ou supprimé par la même occasion.
Vous pouvez mettre à jour la dernière version en utilisant le programme de mise à jour intégré de Chrome ou le télécharger directement depuis google.com/chrome.
Sources : blog Chrome, blog développeurs Web (Chrome)
Et vous ?
Que pensez-vous de la direction prise par l'équipe Chrome ?
Voir aussi :
Répondre avec citation
Partager