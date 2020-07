Google Chrome 84 est disponible, supprime le support de TLS 1.0 et TLS 1.1, Prend en charge l'API Web OTP et met en garde visuellement contre les téléchargements à contenu mixte 4PARTAGES 3 0 Google a annoncé mardi la sortie de la version stable de Chrome 84, la nouvelle mouture du navigateur pour le bureau. Chrome 84 n’embarque pas beaucoup de nouvelles fonctionnalités, mais se contente d’introduire plusieurs améliorations en matière de sécurité. Elle offre principalement une protection renforcée contre les téléchargements à contenu mixte, les notifications intrusives, etc., et supprime des protocoles TLS anciens. Il y a aussi une poignée d’autres modifications et de nouvelles fonctionnalités pour les développeurs.



TLS 1.0 et TLS 1.1 supprimés



Dans une annonce coordonnée en 2018, Microsoft, Google, Apple et Mozilla avaient déclaré qu'ils supprimaient le support des protocoles de communication sécurisée TLS 1.0 et 1.1 à partir de 2020. Google prévoyait de le faire dans Chrome 81, mais en raison de la pandémie de Covid-19, la suppression du protocole a été retardée afin que les utilisateurs puissent toujours avoir accès aux sites de santé et gouvernementaux qui pourraient utiliser des certificats anciens. À partir de Chrome 84, Google supprime la prise en charge des protocoles TLS 1.0 et 1.1.



Désormais, lorsque les utilisateurs tenteront d’accéder à un site Web utilisant ces certificats, ils vont être accueillis par une page interstitielle portant la mention : “Votre connexion n'est pas totalement sécurisée”. Les utilisateurs de Chrome Enterprise peuvent activer le support TLS 1.0 et 1.1 jusqu'en janvier 2021.





Avertissement visuel contre les téléchargements à contenu mixtes



Chrome 84 met en garde visuellement contre les téléchargements à contenu mixte. Google a annoncé en avril 2019 qu’il prévoyait de bloquer les téléchargements à contenus mixtes, qui sont des fichiers livrés via une connexion HTTP non sécurisée lorsqu'ils sont initiés pour la première fois à partir de sites Web HTTPS. Dans les versions précédentes de Google Chrome, Google avait affiché des erreurs dans la console lorsque ces types de téléchargements étaient initiés. Dorénavant, Chrome 84 va afficher un avertissement visuel lorsqu'un téléchargement à contenu mixte est lancé. Cet avertissement visuel indiquera que le fichier “ne peut pas être téléchargé en toute sécurité”.



Les notifications intrusives sont désormais bloquées



L’équipe de Google Chrome a indiqué que les notifications abusives forment “l'une des principales plaintes des utilisateurs”. Chrome 84 s'attaque à ce problème en bloquant les notifications intrusives et autres demandes d'autorisation provenant de sites qui incitent régulièrement les utilisateurs à les activer. En s'inspirant de l'interface utilisateur pour les notifications plus silencieuses de Chrome 80, l’équipe de développement a introduit une nouvelle fonctionnalité, dont l'objectif est de décourager les utilisateurs d'accorder aux sites la possibilité d'afficher des alertes.



Prise en charge de nouvelles API : l’API Web OPT, l'API Screen Wake Lock, l’API QuicTransport, l’API Raw Clipboard access, etc.



Chrome 84 ajoute la prise en charge de l'API Web OTP (mot de passe à usage unique) dans laquelle le navigateur entre automatiquement le code 2FA envoyé par SMS dans votre application de messagerie par défaut. Le navigateur fera glisser un panneau vers le haut pour que vous puissiez “autoriser” que le code soit automatiquement saisi. Il appartient à chaque site Web de prendre en charge cette fonctionnalité. Chrome 84 introduit aussi l’API Wake Lock afin que les sites puissent demander que votre écran reste actif et que votre appareil ne se verrouille pas.



Un exemple très simple est la visite d'un site Web de recettes et le fait de vouloir qu'il reste actif. En outre, Google a aussi amélioré la mise en œuvre de l'API d’animations Web par Chrome. Cette “meilleure conformité aux spécifications” signifie que le navigateur peut nettoyer et supprimer les anciennes animations pour économiser de la mémoire et améliorer les performances. L'API QuicTransport quant à elle permet aux applications Web de se connecter à des serveurs utilisant le protocole de transport bidirectionnel à faible latence QUIC.



Ce protocole permet aux applications d'envoyer et de recevoir des données de manière fiable et peu fiable en utilisant des paquets UDP. Son approche à faible latence permet aux développeurs de créer des tunnels bidirectionnels entre une application Web et un serveur, avec de grandes performances. Enfin, Raw Clipboard Access est une API de bas niveau qui permet aux applications Web de copier correctement des données vers, mais également depuis des applications natives qui utilisent des formats de fichiers propriétaires. La version Chrome 84 corrige aussi 38 vulnérabilités de sécurité.



