Google a franchi une étape importante vers l’amélioration de la sécurité Internet de Chrome en mettant automatiquement à niveau les requêtes HTTP non sécurisées vers les requêtes HTTPS pour 100 % des utilisateurs.
Cette fonctionnalité est appelée Mises à niveau HTTPS et sécurisera les anciens liens qui utilisent le http:// en tentant automatiquement de se connecter d’abord à l’URL via le protocole https:// crypté.
Un déploiement limité de cette fonctionnalité dans Google Chrome a commencé en juillet, mais depuis le 16 octobre, Google l’a désormais déployée pour tous les utilisateurs du canal Stable.
« Nous avons activé les mises à niveau HTTPS par défaut sur le réseau la semaine dernière et nous les déployons actuellement à 100 % de stabilité », peut-on lire. une mise à jour de Chris Thompson, responsable de la gestion du programme d’ingénierie de Google.
Que sont les mises à niveau HTTPS ?
Les mises à niveau HTTPS sont une fonctionnalité de Google Chrome qui met automatiquement à niveau toutes les navigations du mainframe vers HTTPS, la version sécurisée du protocole de transfert hypertexte tout en garantissant un retour rapide vers HTTP si nécessaire.
Historiquement, les navigateurs envoyaient souvent des requêtes HTTP non sécurisées à des sites capables de prendre en charge HTTPS.
Que ce soit parce que les utilisateurs cliquent sur d’anciens liens ou parce que le contenu des sites Web n’a pas été mis à niveau pour utiliser le nouveau protocole, les connexions via le protocole HTTP ne sont pas cryptées et peuvent être espionnées pour voler des informations d’identification ou d’autres données sensibles.
Google indique que cela pourrait également se produire en chargeant des ressources HTTP depuis :
- Un utilisateur naviguant vers un site utilisant HSTS (HTTP Strict Transport Security) pour la première fois,
- Accéder à un site qui utilise par défaut HTTPS mais n’utilise pas HSTS, ou
- Visiter un site prenant en charge à la fois HTTPS et HTTP sans redirection automatique vers HTTPS.
Dans chaque cas, la confidentialité et la sécurité des utilisateurs sont compromises par des connexions non sécurisées inutiles. Ce problème persistait dans diverses configurations, affectant potentiellement de nombreuses requêtes.
Méthodes existantes pour appliquer HTTPS, telles que HSTS La liste de préchargement ou les listes de mise à niveau organisées manuellement ont des limites. Soit ils impliquent des configurations complexes et risquées, soit ils s’adressent à un nombre limité de sites.
De plus, maintenir à jour une liste de sites pris en charge par HTTPS peut s’avérer difficile et gourmand en bande passante, ce qui conduit souvent à ce que des informations obsolètes parviennent aux utilisateurs.
Google résout les problèmes de sécurité avec les mises à niveau HTTP
Avec cette mise à jour, Chrome vise à mettre automatiquement à niveau les liens HTTP dans la page vers HTTPS, en mettant en œuvre un mécanisme de repli rapide vers HTTP si nécessaire.
Le navigateur peut également respecter un en-tête de désinscription, permettant aux serveurs Web qui diffusent différents contenus sur HTTP et HTTPS d’empêcher les mises à niveau automatiques.
Ce comportement nécessitera des modifications de la spécification Fetch, notamment concernant la mise à niveau des requêtes de navigation main-frame et la gestion des erreurs réseau dans les requêtes mises à niveau.
La mise à jour impacte différents aspects de la navigation :
- Il est limité aux navigations sur le mainframe, avec des mises à niveau de sous-ressources régies par les politiques de contenu mixte existantes.
- Les navigations initiées via la barre d’URL ou JavaScript sont éligibles aux mises à niveau.
- La mise à niveau affecte uniquement les requêtes idempotentes telles que GET, conformément aux politiques actuelles de contenu mixte pour les formulaires sur les pages mises à niveau.
- Les redirections vers HTTP à partir des navigations HTTPS initiales sont également mises à niveau.
Même si cette mise à niveau automatique n’empêche pas les rétrogradations, elle n’offre pas moins de sécurité que la norme actuelle.
Cela limite l’exposition aux attaquants passifs, même si des attaquants actifs pourraient entraver le processus de mise à niveau. Il est important de noter que ce changement pourrait réduire la motivation des développeurs à rectifier les références HTTP.
Cependant, étant donné la tendance actuelle consistant à marquer les pages HTTP comme « non sécurisées », cette mise à niveau est une mesure proactive pour protéger les utilisateurs, en particulier sur les sites peu susceptibles d’être mis à jour vers HTTPS.