« Aujourd'hui, nous annonçons que Chrome s'assurera progressivement que les pages sécurisées (HTTPS) téléchargent uniquement des fichiers sécurisés. Dans une série d'étapes décrites ci-dessous, nous allons commencer à bloquer les "téléchargements de contenu mixte" (les téléchargements non HTTPS ont commencé sur des pages sécurisées). Cette décision fait suite à un plan que nous avons annoncé l'année dernière pour commencer à bloquer toutes les sous-ressources non sécurisées sur les pages sécurisées ».
Et d'expliquer que les fichiers téléchargés de façon non sécurisée constituent un risque pour la sécurité et la confidentialité des utilisateurs. Par exemple, des programmes téléchargés de façon non sécurisée peuvent être échangés contre des logiciels malveillants par des attaquants, et il peut même être possible de lire les relevés bancaires des utilisateurs qui les ont téléchargés de façon non sécurisée. Pour faire face à ces risques, Google a supprimé la prise en charge des téléchargements non sécurisés dans Chrome : « Dans un premier temps, nous nous concentrons sur les téléchargements non sécurisés démarrés sur des pages sécurisées. Ces cas sont particulièrement préoccupants, car Chrome ne donne actuellement aucune indication à l'utilisateur que leur vie privée et leur sécurité sont menacées ».
Ainsi, à partir de Chrome 82 (qui a été publié en avril 2020), Chrome a commencé progressivement à avertir et à bloquer par la suite ces téléchargements de contenu mixte. Les types de fichiers qui présentent le plus de risques pour les utilisateurs (par exemple, les exécutables) ont été affectés en premier, les versions ultérieures de Chrome couvrant davantage de types de fichiers. Ce déploiement progressif a été conçu pour atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d'avertissements que les utilisateurs de Chrome doivent voir.
Google a prévu de déployer des restrictions sur les téléchargements de contenus mixtes sur les plateformes desktop (Windows, macOS, Chrome OS et Linux) en premier. Sa feuille de route pour les plateformes desktop était la suivante :
- Dans Chrome 81 (sorti en mars 2020) et les versions ultérieures:
- Chrome affiche un message d'avertissement sur tous les téléchargements de contenu mixte.
- Dans Chrome 82 (sorti en avril 2020):
- Chrome avertit dans des situations de téléchargements de contenu mixte d'exécutables (par exemple .exe).
- Dans Chrome 83 (sorti en juin 2020):
- Chrome bloque les exécutables à contenu mixte ;
- Chrome lance un avertissement en cas de tentative de téléchargement d'archives de contenu mixte (.zip) et d'images de disque (.iso).
- Dans Chrome 84 (sorti en août 2020):
- Chrome bloque les exécutables, les archives et les images de disque à contenu mixte ;
- Chrome met en garde contre tous les autres téléchargements de contenu mixte, à l'exception des formats d'image, audio, vidéo et texte.
- Dans Chrome 85 (sorti en septembre 2020):
- Chrome avertit en cas de tentative de téléchargements de contenu mixte d'images, d'audio, de vidéo et de texte ;
- Chrome bloque tous les autres téléchargements de contenu mixte.
- Dans Chrome 86 (sorti en octobre 2020) et au-delà, Chrome bloque tous les téléchargements de contenu mixte.
Firefox emboîte le pas à Chrome
Les développeurs de Mozilla mettent la touche finale à une nouvelle fonctionnalité qui bloquera les téléchargements de fichiers non sécurisés dans Firefox.
Appelée blocage de contenu mixte téléchargé, la fonctionnalité marche en bloquant les téléchargements de fichiers initiés à partir d'une page HTTPS chiffrée mais qui se déroulent en réalité via un canal HTTP non chiffré.
L'idée derrière cette fonctionnalité est d'empêcher les utilisateurs de Firefox d'être induits en erreur par la barre d'URL et de penser qu'ils téléchargent un fichier en toute sécurité via HTTPS alors qu'en réalité, le fichier pourrait être falsifié par des tiers pendant son transit.
Sur une page d'aide, Firefox rappelle ce qu'est un contenu mixte et quels sont les risques :
« HTTP est un protocole de transmission des informations d’un serveur web vers votre navigateur. HTTP n’est pas sécurisé, donc quand vous visitez une page transmise avec HTTP, votre connexion est ouverte aux écoutes et aux "attaques de l’homme du milieu". La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n’ont donc pas besoin d’être sécurisées.
« Quand vous visitez une page entièrement transmise en utilisant HTTPS, comme sur le site de votre banque, vous voyez une icône de cadenas dans la barre d’adresse. Cela signifie que votre connexion est authentifiée et chiffrée, et par conséquent protégée des écoutes et des attaques dites de l’homme du milieu.
« Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est servie avec HTTPS. Quand une page HTTPS a une partie de son contenu en HTTP, on appelle cela du contenu "mixte". La page n’est qu’en partie chiffrée et, même si elle semble être sécurisée, elle ne l’est pas ».
Spécificités de la fonctionnalité :
- Tous les téléchargements de fichiers HTTP à partir d'une page HTTPS seront bloqués avec un message dans le Centre de téléchargement Firefox (CTRL+J).
- Une option sera disponible pour permettre aux utilisateurs d'autoriser le téléchargement s'ils le souhaitent.
- Les téléchargements de fichiers HTTP à partir de pages HTTP ne seront pas bloqués.
- Les liens de téléchargement HTTP directement accessibles (copier-coller dans la barre d'adresse de Firefox) ne seront pas bloqués.
- La fonctionnalité est déjà en ligne et activée dans les éditions Firefox Beta, Developer et Nightly.
- Sur la base des entrées actuelles du suivi des bogues de Firefox, la fonctionnalité devrait être activée pour tous les utilisateurs de Firefox dans la Firefox 92, dont la sortie officielle est prévue début septembre 2021.
Les utilisateurs de Firefox Stable qui souhaitent le tester maintenant peuvent aller sur la page des paramètres about:config et activer l'option suivante : dom.block_download_insecure définit sur true.
Comment puis-je savoir qu’une page contient du contenu mixte ?
Mozilla explique qu'il y a deux sortes de contenu mixte : le contenu mixte passif, affiché, et le contenu mixte actif. Leur différence réside dans le niveau de la menace. L'éditeur suggère de vérifier si l’icône représentant un cadenas est présente dans votre barre d’adresse pour déterminer si la page contient du contenu mixte.
Et d'expliquer :
- Pas de contenu mixte : sûr
Vous verrez un cadenas lorsque vous êtes sur une page complètement sécurisée (par HTTPS). Pour savoir si Firefox a bloqué des parties de la page qui ne sont pas sûres, cliquez sur l’icône de cadenas gris. - Contenu mixte non bloqué : pas sûr
- Si vous voyez un cadenas barré de rouge, la page présente du contenu mixte actif et Firefox ne bloque pas ses éléments non sûrs. Cette page est vulnérable aux interceptions et aux attaques dans lesquelles vos données personnelles peuvent vous être volées depuis le site. Vous ne devriez pas voir cette icône sur une page sécurisée (HTTPS), sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante. Note : un cadenas barré de rouge est aussi affiché sur un site non chiffré (HTTP).
- Un cadenas gris avec un triangle indique que Firefox ne bloque pas le contenu passif non sécurisé, comme des images. Par défaut, Firefox ne bloque pas le contenu mixte passif, vous voyez simplement un avertissement prévenant que la page n’est pas totalement sûre. Les pirates sont susceptibles de manipuler des parties de la page, comme afficher du contenu falsifié ou inapproprié, mais ils ne devraient pas être en mesure de voler vos données personnelles à partir de ce site.
Sources : Bugzilla, blocage de contenus mixtes, Mozilla Wiki
Et vous ?
Que pensez-vous de cette décision de Firefox ?