Google Chrome va bloquer les téléchargements « non sécurisés » lancés depuis les pages en HTTPS dès Chrome 84,
dont la sortie est prévue pour août 2020
Google a révélé son intention d'avertir initialement les utilisateurs de Chrome des téléchargements « non sécurisés » et de les bloquer définitivement. C'est Joe DeBlasio, de l'équipe de sécurité de Chrome, qui s'est chargé de l'annonce :
« Aujourd'hui, nous annonçons que Chrome s'assurera progressivement que les pages sécurisées (HTTPS) téléchargent uniquement des fichiers sécurisés. Dans une série d'étapes décrites ci-dessous, nous allons commencer à bloquer les "téléchargements de contenu mixte" (les téléchargements non HTTPS ont commencé sur des pages sécurisées). Cette décision fait suite à un plan que nous avons annoncé l'année dernière pour commencer à bloquer toutes les sous-ressources non sécurisées sur les pages sécurisées ».
Et d'expliquer que les fichiers téléchargés de façon non sécurisée constituent un risque pour la sécurité et la confidentialité des utilisateurs. Par exemple, des programmes téléchargés de façon non sécurisée peuvent être échangés contre des logiciels malveillants par des attaquants, et il peut même être possible de lire les relevés bancaires des utilisateurs qui les ont téléchargés de façon non sécurisée. Pour faire face à ces risques, Google prévoit de supprimer la prise en charge des téléchargements non sécurisés dans Chrome : « Dans un premier temps, nous nous concentrons sur les téléchargements non sécurisés démarrés sur des pages sécurisées. Ces cas sont particulièrement préoccupants, car Chrome ne donne actuellement aucune indication à l'utilisateur que leur vie privée et leur sécurité sont menacées ».
Ainsi, à partir de Chrome 82 (qui sera publié en avril 2020), Chrome va commencer progressivement à avertir et à bloquer par la suite ces téléchargements de contenu mixte. Les types de fichiers qui présentent le plus de risques pour les utilisateurs (par exemple, les exécutables) seront affectés en premier, les versions ultérieures de Chrome couvrant davantage de types de fichiers. Ce déploiement progressif est conçu pour atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d'avertissements que les utilisateurs de Chrome doivent voir.
Google prévoit de déployer des restrictions sur les téléchargements de contenus mixtes sur les plateformes desktop (Windows, macOS, Chrome OS et Linux) en premier. Sa feuille de route pour les plateformes desktop est la suivante :
- Dans Chrome 81 (qui sortira en mars 2020) et les versions ultérieures:
- Chrome affichera un message d'avertissement sur tous les téléchargements de contenu mixte.
- Dans Chrome 82 (qui sortira en avril 2020):
- Chrome va avertir dans des situations de téléchargements de contenu mixte d'exécutables (par exemple .exe).
- Dans Chrome 83 (qui sortira en juin 2020):
- Chrome va bloquer les exécutables à contenu mixte ;
- Chrome va lancer un avertissement en cas de tentative de téléchargement d'archives de contenu mixte (.zip) et d'images de disque (.iso).
- Dans Chrome 84 (qui sortira en août 2020):
- Chrome va bloquer les exécutables, les archives et les images de disque à contenu mixte ;
- Chrome va mettre en garde contre tous les autres téléchargements de contenu mixte, à l'exception des formats d'image, audio, vidéo et texte.
- Dans Chrome 85 (qui sortira en septembre 2020):
- Chrome va avertir en cas de tentative de téléchargements de contenu mixte d'images, d'audio, de vidéo et de texte ;
- Chrome va bloquer tous les autres téléchargements de contenu mixte.
- Dans Chrome 86 (sorti en octobre 2020) et au-delà, Chrome va bloquer tous les téléchargements de contenu mixte.
Chrome va retarder le déploiement pour les utilisateurs d'Android et iOS d'une version, ce qui implique que les avertissements seront déclenchés dans Chrome 83. Selon l'ingénieur, les plateformes mobiles ont une meilleure protection native contre les fichiers malveillants, et ce délai donnera aux développeurs une longueur d'avance vers la mise à jour de leurs sites avant d'avoir un impact sur les utilisateurs mobiles.
Les développeurs peuvent empêcher les utilisateurs de voir un avertissement de téléchargement en s'assurant que les téléchargements utilisent uniquement HTTPS. Dans la version actuelle de Chrome Canary, ou dans Chrome 81 une fois publiée, les développeurs peuvent activer un avertissement sur tous les téléchargements de contenu mixte à des fins de tests en activant l'indicateur Traiter les téléchargements risqués sur des connexions non sécurisées comme du contenu mixte actif à cette adresse.
Les clients Entreprises et Éducation peuvent désactiver le blocage site par site via la stratégie InsecureContentAllowedForUrls existante en ajoutant un modèle correspondant à la page demandant le téléchargement.
Exemple d'un avertissement potentiel
Et DeBlasio de conclure en disant : « À l'avenir, nous prévoyons de restreindre davantage les téléchargements non sécurisés dans Chrome. Nous encourageons les développeurs à migrer entièrement vers HTTPS pour éviter de futures restrictions et protéger pleinement leurs utilisateurs ».
Source : Google
Et vous ?
Que pensez-vous de cette décision de Google ?
Partager