Google Chrome a déjà mis en place un blocage pour certains types de « contenu mixte » sur le web. Cependant, Google a
annoncé
un durcissement de cette politique : à partir du début de l’année 2020, Chrome bloquera par défaut tout contenu mixte, ce qui impactera certaines pages web existantes. Voici ce que cela signifie concrètement.
Définition du Contenu Mixte
Il est important de distinguer deux types de contenu : celui qui est transmis via une connexion HTTPS sécurisée et chiffrée, et celui qui est transmis via une connexion HTTP non chiffrée. L’utilisation de HTTPS garantit que le contenu ne peut être ni intercepté, ni modifié lors de son acheminement, ce qui explique pourquoi les sites web sensibles utilisent le chiffrement pour les informations financières et les données privées.
Le web tend de plus en plus vers l’utilisation de sites web HTTPS sécurisés. Si vous visitez un site web HTTP non chiffré, Google Chrome vous alerte que celui-ci n’est « pas sécurisé ». Google masque même l’indicateur « https:// » par défaut, car la sécurité devrait être la norme. De plus, le nouveau protocole HTTP/3 intègre le chiffrement.
Cependant, certaines pages web ne sont ni entièrement HTTPS, ni entièrement HTTP. Elles sont servies via une connexion HTTPS sécurisée, mais elles chargent des images, des scripts ou d’autres ressources via une connexion HTTP non chiffrée. Ces pages présentent donc un « contenu mixte », car elles ne sont pas totalement sécurisées. Bien que la page web elle-même ne soit pas altérée, elle peut charger un script, une image ou une iframe (page web intégrée dans un « cadre » d’une autre page) qui auraient pu être falsifiés.
Les Risques du Contenu Mixte
Le contenu mixte crée une confusion, car une page web peut être perçue comme à la fois sécurisée et non sécurisée. Par exemple, une page web qui est généralement sécurisée peut charger un fichier JavaScript via HTTP. Ce script pourrait être modifié, notamment si vous utilisez un réseau Wi-Fi public non sécurisé, pour réaliser des actions malveillantes sur la page, comme enregistrer vos frappes ou installer un cookie de suivi.
Alors que les scripts et les iframes, classés comme « contenu actif », présentent les plus grands risques, les images, les vidéos et les fichiers audio peuvent également poser problème. Par exemple, sur un site web sécurisé de trading boursier, une image d’historique d’actions chargée via HTTP peut être altérée durant le transport pour afficher des données erronées. De plus, comme cette image a été transmise via une connexion non chiffrée, une personne interceptant les données peut savoir quel titre vous consultez.
Mélanger les types de contenu est une pratique déconseillée. Si une page web utilise HTTPS, toutes ses ressources doivent également être chargées via HTTPS. Il s’agit d’une conséquence de l’histoire du web : celui-ci a débuté avec HTTP, et les sites web sont progressivement passés à HTTPS. Lors de cette transition, les sites n’ont pas toujours mis à jour toutes leurs ressources pour utiliser HTTPS, ou ils peuvent avoir dépendu de ressources tierces qui ne supportaient pas HTTPS à l’époque.
Google et d’autres fournisseurs de navigateurs rendant le contenu mixte plus difficile à gérer, les sites web devront corriger ces problèmes pour assurer le bon fonctionnement de leurs pages.
Les Changements Concrets dans Chrome
Chrome bloque actuellement les scripts et iframes mixtes. À partir de Chrome 80, prévu pour janvier 2020, le navigateur bloquera également les contenus audio et vidéo mixtes. En réalité, il tentera de les charger via une connexion HTTPS sécurisée, et les bloquera en cas d’échec. Les images mixtes seront chargées, mais Chrome signalera que la page n’est pas sécurisée. Chrome 81 bloquera également le chargement des images mixtes. L’utilisateur pourra autoriser le chargement du contenu mixte, mais cela ne sera pas activé par défaut.
Ces mesures visent à sécuriser davantage le web. L’article de blog de Google explique qu’ils s’attendent à ce que le message « Non sécurisé » « incite les sites web à migrer leurs images vers HTTPS ».
Comment Débloquer le Contenu Mixte dans Chrome
Chrome affiche déjà une icône de bouclier dans la barre d’adresse et un message « Contenu non sécurisé bloqué » pour certains types de contenu mixte. Vous pouvez voir comment cela fonctionne sur la
page d’exemple de contenu mixte
de Google. Par exemple, pour débloquer un script de contenu mixte, vous devez cliquer sur un lien « Charger les scripts non sécurisés ».
Si vous autorisez l’exécution du contenu mixte, le statut de la page web passe de « Sécurisé » à « Non sécurisé ».
Google simplifiera cette procédure dans Chrome 79, prévu pour décembre 2019. Vous devrez cliquer sur l’icône de verrouillage à gauche de l’adresse de la page, puis sur « Paramètres du site » pour débloquer le contenu mixte de ce site.
L’option est plus difficile d’accès, mais c’est voulu : la plupart des utilisateurs ne devraient jamais avoir besoin de débloquer le contenu mixte d’un site. Les développeurs web doivent corriger leurs sites afin de servir des ressources en toute sécurité. Cette option garantit que les utilisateurs d’anciens sites web professionnels pourront continuer à y accéder, même si le contenu mixte est désactivé pour la majorité des utilisateurs.
Si vous avez besoin d’un site qui utilise du contenu mixte, n’ayez crainte : Google n’a pas annoncé de date pour la suppression de l’option de chargement de ce type de contenu. Chrome bloquera tout contenu mixte par défaut, mais continuera à offrir la possibilité de l’activer.
Les Autres Navigateurs Sont-ils Concernés ?
Chrome n’est pas le seul concerné. Firefox bloque également les contenus mixtes comme les scripts et les iframes, et vous demande de cliquer sur »
Désactiver la protection pour le moment
» pour les réactiver. On s’attend à ce que Mozilla suive l’exemple de Google. Safari d’Apple bloque également le contenu mixte de manière agressive
.
Et, bien sûr, le nouveau navigateur Edge de Microsoft, basé sur le code Chromium, qui constitue la base de Google Chrome, aura un comportement similaire à celui de Chrome.