Google Chrome bloquera le téléchargement de fichier via HTTP

Google Chrome empêchera bientôt le téléchargement de certains fichiers, tels que les fichiers PDF ou les exécutables, via une connexion HTTP, s’ils sont sur des pages Web HTTPS.

HTTPS indique qu’un site Web a une connexion cryptée. Lors de la connexion à un site Web HTTP, les navigateurs recherchent simplement l’adresse IP et lui envoient des données en texte clair. Lors de l’utilisation d’un site Web HTTPS, en revanche, le navigateur vérifie qu’il possède un certificat SSL légitime avant d’envoyer des données sous forme cryptée – empêchant les attaques de l’homme du milieu (MiTM) et plus encore.

google chrome

Avec la sortie de Google Chrome 68 en 2018, Google a commencé à étiqueter les sites Web HTTP avec une étiquette d’avertissement «non sécurisé» dans la barre de navigation. Cependant, ce n’est pas parce que les sites Web utilisent une connexion HTTPS qu’ils sont protégés contre toutes les menaces. Par exemple, les pages de destination d’hameçonnage peuvent facilement utiliser des certificats SSL (et beaucoup le font). De même, les sites Web HTTPS peuvent toujours diffuser des images, des scripts ou d’autres types de fichiers téléchargés à l’aide d’une connexion HTTP.

À partir de Google Chrome 82, dont la sortie est prévue pour avril 2020, Google souhaite se débarrasser de ce problème en avertissant d’abord les utilisateurs, puis en bloquant, les «téléchargements de contenu mixte» sur HTTP, qui pourraient être constitués d’exécutables (tels que les fichiers .exe et .apk), d’archives (comme les fichiers .zip ou .iso), de fichiers multimédias (tels que les fichiers .png, .mp3) et tous les autres types «non sécurisés» (.pdf, .docx, etc.).

“Les fichiers téléchargés de manière non sécurisée constituent un risque pour la sécurité et la confidentialité des utilisateurs”, a déclaré Joe DeBlasio, membre de l’équipe de sécurité de Google Chrome, dans un article. «Par exemple, les programmes téléchargés de manière non sécurisée peuvent être échangés contre des logiciels malveillants par des pirates et des espions peuvent lire les relevés bancaires des utilisateurs qui sont téléchargés de manière non sécurisée. Pour faire face à ces risques, nous prévoyons de supprimer à terme la prise en charge des téléchargements non sécurisés dans Google Chrome. »

google chrome

Google, qui avait d’abord refusé cette idée en avril dernier, a défini une feuille de route pour finalement interdire les téléchargements de fichiers en question au cours des sept prochains mois. À partir de Chrome 82, Google Chrome avertira tout d’abord les utilisateurs s’ils téléchargent des exécutables à l’aide d’une connexion HTTP – puis, avec Google Chrome 83 (juin 2020), le navigateur commencera à les bloquer. Il fera de même avec d’autres téléchargements de contenus mixtes jusqu’à ce que tout soit bloqué dans Google Chrome 86, qui devrait sortir en septembre 2020.

«Les types de fichiers qui présentent le plus de risques pour les utilisateurs (par exemple, les exécutables) seront les premiers impactés, les versions ultérieures couvriront davantage de types de fichiers», selon DeBlasio. “Ce déploiement progressif est conçu pour atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d’avertissements que les utilisateurs de Chrome doivent voir.”

Le déploiement progressif donnera également aux développeurs une longueur d’avance vers une migration complète vers HTTPS en garantissant que les téléchargements sur leurs sites Web utilisent également des connexions HTTPS. Google a également déclaré que dans la version actuelle de Chrome Canary (le navigateur Web de Google destiné aux développeurs) et dans Chrome 81 (une fois qu’il sera sorti), les développeurs peuvent activer un avertissement sur tous les téléchargements de contenu mixte pour des tests en activant la fonction dans [chrome: // flags / # traiter-unsafe-download-as-active-content].

Une initiative de Google Chrome très bien accueillie

Fausto Oliveira, architecte principal de la sécurité chez Acceptto, a déclaré que cela était une «bonne idée».

“Nous utilisons HTTPS comme standard de facto pour les pages Web, cependant, certaines implémentations telles que celles mentionnées par Google (c’est-à-dire les relevés bancaires) arrivent sur votre navigateur sans être cryptées”, a-t-il déclaré. «Cela permet à toute personne intermédiaire d’avoir accès à des données confidentielles. J’espère que cette décision de Google amènera d’autres navigateurs à suivre et à bloquer également le téléchargement de fichiers à partir de connexions non chiffrées. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x