Chrome : Google va bloquer les faux sites HTTPS non sécurisés

 

Dans une prochaine mise à jour, Google Chrome va s'attaquer aux sites web présentant des pages HTTPS qui n'offrent pas les garanties de sécurité du standard. Il existe en effet de nombreuses pages web en HTTPS mais qui chargent du contenu non sécurisé via des scripts, images et autres composants utilisant le protocole HTTP. Souvent, c'est dans l'intention de piéger les internautes avec du code malveillant.

Chrome bloqueur de pub

Google est l'une des entreprises ayant milité pour une adoption massive du standard HTTPS. Désormais, « les utilisateurs de Chrome passent plus de 90% de leur temps de navigation sur des pages utilisant le protocole ». Mais le standard HTTPS n'offre pas encore une garantie de sécurité absolue, car certaines pages d'apparence sécurisée continuent de charger des ressources via le protocole HTTP. Dans une note publiée sur le blog Chromium, Google vient d'annoncer de nouvelles mesures pour bloquer les pages web présentant ce défaut dit de « contenu mixte ».

Google Chrome s'attaque aux pages HTTPS non sécurisées

La pratique du contenu mixte consiste à charger un site via une page HTTPS tout en y incluant des contenus HTTP pouvant compromettre la sécurité des internautes. Étant donné que les pages web sont actuellement autorisées à charger des composants web à partir d'un pool mixte de pages sécurisées et non sécurisées, des attaquants peuvent exploiter cette faille de manière à injecter du code malveillant ou charger du contenu téléchargeable contenant des malwares, comme l'expliquait un employé de Google dans un message envoyé aux membres du World Wide Web Consortium (W3C) il y a quelques mois.

La firme vient de présenter son plan d'attaque pour enrayer le phénomène. Elle va adopter une approche progressive qui aboutira au blocage systématique de tous les types de contenus mixtes à partir de Chrome 81 attendu entre février et avril 2020. Il faut préciser que Google bloque déjà certains scripts et contenus iframe par défaut. Pour plus de flexibilité, Chrome 79 proposera une option permettant aux utilisateurs de débloquer certaines pages qu'ils jugent dignes de confiance, après quoi le processus de blocage progressif des autres types de contenus mixtes sera enclenché à partir de Chrome 80 qui est attendu début 2020.

Source : Google



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
Capture
La France sera fibrée à 100% en 2025, promet le gouvernement

La fibre est un enjeu majeur du numérique actuellement. Alors que de nombreuses régions n’y ont pas encore le droit, le gouvernement s’est engagé à fibrer 100% des foyers français d’ici 2025. Une date ambitieuse, mais faisable, le budget alloué…

Pirate
Le web français victime d’une énorme cyber-attaque

Plusieurs sites français ont été victimes de cyber-attaques le dimanche 25 octobre. Il s’agit d’attaques en défigurations, c’est-à-dire une prise de contrôle d’un site pour en changer le visuel afin de faire passer un message. Il pourrait s’agir d’une conséquence…

leboncoin vinted payer plusieurs fois
Leboncoin, Vinted : vous pouvez désormais payer en plusieurs fois

Leboncoin et Vinted permettent désormais de payer vos achats en plusieurs fois. Une application développée par la firme française Obvy propose en effet aux internautes de régler leurs achats de particulier à particulier en 3, 4 ou 10 fois via carte bancaire….

google paid extensions
Chrome : Google abandonne les extensions payantes

Google annonce sur son blog la fin des extensions Chrome payantes utilisant la plateforme du Chrome Web Store. Les développeurs qui souhaitent monétiser leur extension devront se tourner vers des solutions de paiement alternatives. Google ne souhaite plus cautionner les…