Google Chrome bloquera le téléchargement de fichier via HTTP

2

Google Chrome empêchera bientôt le téléchargement de certains fichiers, tels que les fichiers PDF ou les exécutables, via une connexion HTTP, s’ils sont sur des pages Web HTTPS.

HTTPS indique qu’un site Web a une connexion cryptée. Lors de la connexion à un site Web HTTP, les navigateurs recherchent simplement l’adresse IP et lui envoient des données en texte clair. Lors de l’utilisation d’un site Web HTTPS, en revanche, le navigateur vérifie qu’il possède un certificat SSL légitime avant d’envoyer des données sous forme cryptée – empêchant les attaques de l’homme du milieu (MiTM) et plus encore.

google chrome

Avec la sortie de Google Chrome 68 en 2018, Google a commencé à étiqueter les sites Web HTTP avec une étiquette d’avertissement «non sécurisé» dans la barre de navigation. Cependant, ce n’est pas parce que les sites Web utilisent une connexion HTTPS qu’ils sont protégés contre toutes les menaces. Par exemple, les pages de destination d’hameçonnage peuvent facilement utiliser des certificats SSL (et beaucoup le font). De même, les sites Web HTTPS peuvent toujours diffuser des images, des scripts ou d’autres types de fichiers téléchargés à l’aide d’une connexion HTTP.

À partir de Google Chrome 82, dont la sortie est prévue pour avril 2020, Google souhaite se débarrasser de ce problème en avertissant d’abord les utilisateurs, puis en bloquant, les «téléchargements de contenu mixte» sur HTTP, qui pourraient être constitués d’exécutables (tels que les fichiers .exe et .apk), d’archives (comme les fichiers .zip ou .iso), de fichiers multimédias (tels que les fichiers .png, .mp3) et tous les autres types «non sécurisés» (.pdf, .docx, etc.).

« Les fichiers téléchargés de manière non sécurisée constituent un risque pour la sécurité et la confidentialité des utilisateurs », a déclaré Joe DeBlasio, membre de l’équipe de sécurité de Google Chrome, dans un article. «Par exemple, les programmes téléchargés de manière non sécurisée peuvent être échangés contre des logiciels malveillants par des pirates et des espions peuvent lire les relevés bancaires des utilisateurs qui sont téléchargés de manière non sécurisée. Pour faire face à ces risques, nous prévoyons de supprimer à terme la prise en charge des téléchargements non sécurisés dans Google Chrome. »

google chrome

Google, qui avait d’abord refusé cette idée en avril dernier, a défini une feuille de route pour finalement interdire les téléchargements de fichiers en question au cours des sept prochains mois. À partir de Chrome 82, Google Chrome avertira tout d’abord les utilisateurs s’ils téléchargent des exécutables à l’aide d’une connexion HTTP – puis, avec Google Chrome 83 (juin 2020), le navigateur commencera à les bloquer. Il fera de même avec d’autres téléchargements de contenus mixtes jusqu’à ce que tout soit bloqué dans Google Chrome 86, qui devrait sortir en septembre 2020.

«Les types de fichiers qui présentent le plus de risques pour les utilisateurs (par exemple, les exécutables) seront les premiers impactés, les versions ultérieures couvriront davantage de types de fichiers», selon DeBlasio. « Ce déploiement progressif est conçu pour atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d’avertissements que les utilisateurs de Chrome doivent voir. »

Le déploiement progressif donnera également aux développeurs une longueur d’avance vers une migration complète vers HTTPS en garantissant que les téléchargements sur leurs sites Web utilisent également des connexions HTTPS. Google a également déclaré que dans la version actuelle de Chrome Canary (le navigateur Web de Google destiné aux développeurs) et dans Chrome 81 (une fois qu’il sera sorti), les développeurs peuvent activer un avertissement sur tous les téléchargements de contenu mixte pour des tests en activant la fonction dans [chrome: // flags / # traiter-unsafe-download-as-active-content].

Une initiative de Google Chrome très bien accueillie

Fausto Oliveira, architecte principal de la sécurité chez Acceptto, a déclaré que cela était une «bonne idée».

« Nous utilisons HTTPS comme standard de facto pour les pages Web, cependant, certaines implémentations telles que celles mentionnées par Google (c’est-à-dire les relevés bancaires) arrivent sur votre navigateur sans être cryptées », a-t-il déclaré. «Cela permet à toute personne intermédiaire d’avoir accès à des données confidentielles. J’espère que cette décision de Google amènera d’autres navigateurs à suivre et à bloquer également le téléchargement de fichiers à partir de connexions non chiffrées. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
2 commentaires
  1. SuperMan dit

    C’est très bien accueilli par qui ? De ne plus avoir le contrôle sur le contenu de ce que l’on veux télécharger ? Juste une option qui permet ou non de décidé d’activé ou non, cette option que personnellement je trouve STUPIDE ! Et qui va juste me faire changer de moteur de recherche ! Est-ce que par sécurité ne devrait-il pas y avoir une puce dans le cerveau de chaque citoyen pour analyser, en temp réel, le degré d’intégrité ? Par exemple, dès qu’ils réfléchissent trop, on pourrait juste les électrocutées en Wifi avec le nouveau protocole « PLSDT » pour la sécurité de tous !!!! Merci pour cette nouvelle limitation qui nous protège tous !!! Ouai qui nous protège tous, juste de choisir !!!

  2. SuperMan dit

    Ha, ben, faut chercher un peu, mais en fait c’est bon, j’ai trouvé l’astuce 🙂
    dans chrome://flags/ il faut « disable » la ligne « Treat risky downloads over insecure connections as active mixed content »

    Quoi dire de plus, sur que des données sont des données sensibles, mais quand un message d’erreur de sécurité s’affiche pour des drivers sur des sites comme Acer, Asus, ect… ben c’est pas la même chose, puis si vraiment je veux m’assuré de l’intégrité d’un ficher ben, c’est pas parce que ça vient d’un HTTPS que c’est plus sur donc, y pas 2000 solutions ! Faut potasser, voir jusqu’a décompiller en assembleur, bref.. OSEF
    Me casse j’ai d’autre truc a F…

Laisser un commentaire

Votre adresse email ne sera pas publiée.