Google a révélé son intention d’avertir initialement les utilisateurs de Chrome des téléchargements «non sécurisés» et de les bloquer définitivement.
Google a fait pression pour un Web plus sécurisé en labellisant tous les sites Web HTTP de « non sécurisés » dans Chrome 68 (juillet 2018). Lorsque les sites Web sont passés au HTTPS, il existe toujours un risque de télécharger des fichiers falsifiés à partir de ces sites Web sécurisés, car le contenu peut dépendre de l’ancien protocole de transmission. La société a maintenant révélé une feuille de route pour son navigateur Chrome qui resserrera davantage le nœud autour des téléchargements non sécurisés en bloquant complètement tous ces médias lorsque la version 86 sortira en octobre de cette année.
Après avoir révélé son intention de s’attaquer aux publicités ennuyeuses, Google a annoncé dans un article de blog que Chrome « veillerait progressivement à ce que les pages sécurisées (HTTPS) téléchargent uniquement des fichiers sécurisés ».
L’idée est de protéger la sécurité et la confidentialité des utilisateurs, qui deviennent potentiellement à risque lorsque des «programmes téléchargés de manière non sécurisée» sont échangés contre des logiciels malveillants par des attaquants ou lorsque des «relevés bancaires téléchargés de manière non sécurisée» permettent à des écoutes de jeter un œil dans ses dossiers financiers, entre autres scénarios.
Google supprimera finalement la prise en charge des téléchargements non sécurisés (téléchargements non HTTPS démarrés sur des pages sécurisées) sur Chrome et commencera à afficher un message d’avertissement sur la console du navigateur avec la version 81 qui sortira le mois prochain pour les plates-formes de bureau (Windows, macOS, Chrome OS et Linux).
Les utilisateurs commenceront à voir un avertissement pour les «exécutables» dans la version 82, car ces types de fichiers comportent généralement le plus de risques. Les versions ultérieures couvriront davantage de «téléchargements de contenu mixte», y compris des fichiers zip, des images de disque, des documents et du multimédia au cours des prochains mois pour «atténuer rapidement les pires risques, donner aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d’avertissements que les utilisateurs de Chrome doivent voir. »
Pour les utilisateurs mobiles (Android et iOS), Google indique que les avertissements commenceront à apparaître un peu tard dans la version 83, compte tenu de la « meilleure protection native des plateformes contre les fichiers malveillants ». Le délai donnera également aux développeurs plus de temps pour mettre à jour leurs sites en conséquence.
Pour empêcher les utilisateurs de voir de tels avertissements, les développeurs devraient assurer les téléchargements via HTTPS, tandis que ceux qui cherchent à tester la fonctionnalité peuvent activer l’indicateur « Traiter les téléchargements risqués sur les connexions non sécurisées comme du contenu mixte actif » sous chrome://flags/#treat-unsafe-downloads-as-active-content.
Étant donné que les avertissements peuvent s’avérer gênants pour les clients Google et les entreprises de l’éducation (travaillant généralement dans un environnement intranet), la société note que la fonctionnalité de blocage de Chrome peut être désactivée « par site » « en ajoutant un modèle correspondant à la page demandant le téléchargement » dans la politique du navigateur.