Chrome va bloquer tous les téléchargements non-sécurisés

Mickaël Bazoge |

Chrome va prendre les choses en main pour s’assurer que les téléchargements à partir de pages web sécurisées (HTTPS) soient sans danger. À partir de sa version 82 qui sortira en avril, le navigateur web va prévenir l’utilisateur du risque du téléchargement d’un fichier potentiellement dangereux (stocké à une adresse HTTP) à partir d’un site web HTTPS ; Chrome finira même par bloquer le téléchargement. La fenêtre prendra cette forme :

Le tout se déroulera selon un calendrier bien établi. À compter de Chrome 81 (qui sera disponible en mars), l’alerte sera enregistrée uniquement dans la console du navigateur. Dès Chrome 82, les choses sérieuses commencent avec une alerte en cas de téléchargement d’un exécutable (.exe). En juin, Chrome 83 bloquera le téléchargement d’exécutables et préviendra lors du téléchargement d’archives (.zip) et d’images disque (.iso).

Chrome 84, qui sortira en août, bloquera le téléchargement d’exécutables, d’archives et d’images disque. Cette version alertera lors du téléchargement d’autres contenus, à l’exception d’images, de documents audio, vidéo et texte. Chrome 85 préviendra avant le téléchargement d’images, de documents audio, vidéo et texte, et bloquera tous les autres contenus.

Enfin, Chrome 86 bloquera le téléchargement de tous types de documents. Ces restrictions concernent les versions de bureau de Chrome (macOS, Windows, Chrome OS et Linux). Pour les versions mobiles iOS et Android, le déploiement de cette fonction de sécurité débutera avec un numéro de version de retard (les avertissements commenceront donc avec Chrome 83).

Rappelons-le, ces alertes et blocages ne toucheront que les contenus à télécharger depuis des adresses non-HTTPS depuis des sites HTTPS. Pour les sites web sécurisés qui stockent leur contenu à télécharger en HTTPS, Chrome autorisera sans barguigner le téléchargement de tous types de fichiers. Cette initiative est la suite des efforts entrepris par Chrome pour pousser les développeurs et éditeurs de sites web à sécuriser leurs pages (lire : Chrome 68 signale à son tour les sites non sécurisés).

Au delà, Chrome a multiplié les annonces ces derniers temps en matière de sécurité, avec le blocage du user-agent et la disparition des cookies de traçage.

avatar StephanMart | 

Je suppose qu’il y aura un moyen de débloquer cette restriction ?

avatar simK | 

discard...

avatar alexis83 | 

@StephanMart

Utiliser Firefox 😌

avatar imac5k2019 | 

C'est moi ou le net est en train d'être vérouiller dans tous les sens ?! ><

avatar alan1bangkok | 

@imac5k2019

pas seulement le net mais ta vie toute entière est en train d'être surveillée puis verrouillée . Et ça a commencé depuis un bon moment

avatar Eyquem | 

@imac5k2019

Oui et ça devient vraiment pénible ! Tout ça pour « protéger le bon citoyen des méchants virus » bien sûr, un peu comme les radars sur les routes « pour notre sécurité »...

avatar 7X | 

@Eyquem

La route à fait 3200 morts en 2019 rien qu'en France. Plus que Al Qaida, le Coronavirus et la CIA.

avatar oomu | 

@7X

et peut être Eyquem pense que c'est le prix à payer pour garantir autre chose.

(mon point c'est que l'argument "mais la route tue, bordel!" ne marche pas sur les gens qui s'en fichent que la route PUISSE tuer. Ils ont une autre priorité.)

avatar codeX | 

"La route à fait 3200 morts en 2019 rien qu'en France"

Beaucoup moins que les accidents domestiques et/ou les suicides mais comme cela a fort peu de chance d'impacter le quidam moyen on s'en fout. C'est bien plus médiatique d'exposer la tronche de Chantal Perrichon qui nous a expliqué que le problème chez les garçons c'est la testostérone. Elle n'a toutefois pas expliqué comment y remédier 🙄

avatar mouahahaha | 

C'est pas la route mais les conducteurs qui génèrent des morts. :)

Tant qu'yaura des conducteurs, yaura des morts. Et pas besoin de faire du 200Km/h pour tuer avec un véhicule de plus centaines de kilos, voir plusieurs tonnes. :)

avatar oomu | 

@imac5k2019

ce qui se passe est plus fourbe que "verrouillage".

C'est la création d'une Administration toujours plus grande qui vous est nécessaire pour vous mettre sur le net sérieusement (pour être lu).

-
Imaginons que vous voulez créer votre propre site web, votre propre domaine, votre propre présence et identité sur le net, et fuck Twittbookoogle. Vous avez de plus en plus de chose à considérer avant même de simplement écrire du html et le foutre sur un serveur.

Prenons SSL/TLS, les certificats. ça part d'un bon sentiment

(encore que je me demande, les informaticiens sont retors, ils savent les conséquences de leurs technologies, et y a beaucoup de textes expliquant comment une techno ou code peut être aussi conséquente qu'une "loi", et ça date pas d'hier ce genre de réflexion.)

L'idée de SSL/TLS est de garantir le propriétaire d'un site (débattable mais passons) et de chiffrer la communication entre le site (qui peut être un margoulin) et le visiteur.

Si TLS/SSL devient une obligation pour épargner à vos visiteurs des messages alarmistes voir des refus par le navigateur, alors TLS/SSL devient obligatoire pour créer un nouveau site web.

De fait, si vous voulez créer votre propre site web, autonome, avec son propre domaine, vous avez une nouvelle obligation avant que votre site soit "viable".

Il vous faut acheter un certificat, ou mettre en place un fournisseur de certificat gratuit comme LetsEncrypt:

- vous devez vous former aux certificats
- vous devez éventuellement acheter un certificat (selon le domaine racine visé) ce qui demande donc un paiement, facture, renouvellement régulier, déclarer votre adresse, répondre aux exigences éventuelles du domaine racine, etc
- mettre en place la technologie pour le certificat (configurer Apache ou Nginx ou autre, dans le cas de letsencrypt, mettre en place les scripts qui vont automatiser le renouvellement du certificat)

Moralité: avant vous pouviez foutre un tas de .html dans un serveur capable de fournir du "http" et pis c'est tout.

Maintenant vous devez gérer l'obtention du dit certificat. C'est une grosse étape vers "l'administration-nalisation" du web (et net, TLS/SSL dépasse largement le seul web).

-
Mais en soi ça serait rien. Faut voir en global l'évolution.

Prenons le GPDR. La loi européenne qui impose l'information et des droits sur les données personnelles des utilisateurs de service en ligne.

Encore une fois ça part d'un bon sentiment (mouais, c'est un peu passage de patate chaude mais bon...) mais concrètement, si vous voulez éditer votre propre site, ça vous rajoute une énième étape de conformation de votre site avant de prendre le risque de le mettre en ligne.

Vous devez comprendre déjà assimiler la loi (bien savoir ce que vous pouvez et DEVEZ faire), et ensuite mettre en oeuvre techniquement son application.

Vu la complexité qui peut vite venir avec un simple système de blog (genre wordpress), il vous faut gérer les cookies, la base de donnée du site, etc etc.

Typiquement, vous allez plutôt chercher un outil "prêt à l'emploi" pour fournir à votre site web la gestion du GPDR. (wordpress a des plugins pour cela, plus ou moins de qualité)

Les meilleurs outils (qui fournissent un beau popup/page de configuration, zolie charte/license explicative, gestion automatisé pour l'utilisateur, console d'administration pour le propriétaire du site, et qui suivent l'évolution de la loi) sont payants.

Vous devez soit créer vous même de toute pièce (grosse compétence technique et ne rien oublier), soit prendre une prestation/code que vous intégrerez à votre site.

- facturation
- formation
- vérification
- etc

avant de pouvoir mettre son site en ligne sans risque.

C'est une étape supplémentaire alors qu'avant vous auriez foutu votre blog avec son .html, son .js et sa base de donnée à la gomme sur un banal linux de base avec une ip fixe sur internet, sans vous demander si vous aviez respecté une loi européenne.

On a une accumulation d'exigences avant de mettre en ligne un site "sans risque" ou "viable pour l'utilisateur" (si firefox ou safari hurlent toutes les 5s à vos utilisateurs, ils ne reviendront pas sur votre site, il n'est pas "viable").

C'est la "professionnalisation" du web ou sa mise sous "administration".

-
L'évolution à venir m'apparait comme catastrophique. Les bons sentiments vont muter vers une exigence de contrôle et de sécurité politique et sociale.

Je m'explique.

Il est facile d'imaginer que demain, l'obtention d'un certificat TLS passent par l'agrément de l'Etat (par exemple une demande en préfecture), des exigences politiques, une taxation, etc.

Tout pour en gros ralentir ou faire peur, minimiser la mise en place de site par des "sauvageons".

On ne peut plus créer une radio dans son coin, choisir une fréquence et diffuser sa poésie sur les ondes.
Demain, on ne pourra plus créer son site dans son coin, choisir une url et diffuser sa poésie sur le net.

Vous passerez pas les mega-facebooks ou vous devrez suivre un patacaisse d'exigences administratives qui informera jusqu'au dernier étage de l'Administration/Gouvernement que vous avez osé demander à prendre la parole sur internet de manière Autonome.

Sans passer par le centralisé Mega-Twitter ou le concentré Hyper-Whatsapp qui eux sont des gens responsables qui filtrent à priori les poésies trop radicales, trop militantes, trop contestataires, trop sexuelles, trop syndicales, trop politiques, trop geeks, trop ceci, trop cela. et oui, trop criminelles.

Ce qui fera, que vous accepterez que le net sera mis sous "tutelle". Pour le bien des enfants. C'est imparable, non débatable, non contestable et une fois que je vous aurai convaincu de cet angle là, VOUS serez l'artisan de ce web nouveau. Vous voudrez cela.

Pas verrouillé
Pas fermé
Mais au final un peu pareil (de fait, un peu à l'image de l'évolution progressive de Youtube).

Car la somme de boulot et de risques juridiques sera trop grande pour que des oomus chevelus continuent de maintenir un site à la con pour parler d'auteurs japonais tout en expérimentant du xhtml à la cool. Les oomus se feront une raison et iront copier-coller sur Giga-Disney.

L'avenir du web est celui de la radio.

-
Et j'insiste: si vous suivez mon propos et logique (rendre "administratif" la création de site web pour ralentir/empêcher l'accès par les radicaux/subversifs/anti-conformistes/criminels/déviants), alors VOUS serez VOUS demandeur de cela. Vous voterez pour si on vous demande. Vous voterez les politiciens (comme les actuels) qui assumeront de vouloir cela.

Vous serez demandeur d'un net "administratisé". Car vous êtes une personne responsable. C'est inéluctable.

avatar Nesus | 

@oomu

Comme souvent, c’est parfaitement expliqué et malheureusement vrai.

avatar Dev | 

@oomu

Limite des 240 characters svp 😂😭

avatar Le docteur | 

@oomu

Bien vu et bien résumé.
La mort a plus ou moins longue échéance du petit site artisanal par des gens qui ne veulent rien monétiser mais juste mettre un peu de contenu en ligne.
Comme ce sont quasiment mes sites préférés...

avatar Glop0606 | 

Je ne peux qu'être d'accord avec vous, étant donné que je pense et constate la même chose que vous. Vous auriez même pu aller plus loin en parlant de la concentration du net (Cloud, Gafam, etc...) avec toutes les dérives que cela implique. Ironie du sort, le net de demain ressemble de plus en plus au minitel d'hier. Au moins on aura connu une période sympa (1990-2010) avec le PC/Mac comme hub de nos vies numériques et l'internet, espace fanastique d'échanges (pas les réseaux sociaux,hein ;)), de connaissances et de liberté.

avatar vincentn | 

@oomu

Je ne peux qu’approuver vos propos. Il restera bien quelques îlots, « chatons » qui tenteront de préserver tant bien que mal un certain usage et idéal du net.
Mais, comme toute technologie, radio, voiture, ordinateur, … le chemin, le cycle reste le même. Jusqu’à la prochaine nouvelle technologie.

avatar ForzaDesmo | 

@oomu

Tout est "bien" dit 😉

Maintenant j'espère que les autres ne suivront pas et que Chrome restera seul et perde des parts de marché par se "bridage".

avatar Lightman | 

@oomu

Je souscris.

L'espace de liberté qu'a amené le web se transforme en outil de contrôle général.

Les acteurs majeurs du web, initialement des utilisateurs et pensant pour eux, définissent maintenant les règles, influent sur les lois, se rapprochent petit à petit de ceux qui ont tout intérêt de limiter les libertés…

Il y aurait beaucoup à dire mais je m'arrête là.

L'avenir me fait très peur !

avatar marc_os | 

Et qui va bloquer Chrome ?

avatar oomu | 

@marc_os

Avast bien sur :)

avatar switch | 

Google ferait mieux d'imposer la validation des extensions à Chrome par une autorité de sécurité : Chrome se laisse véroler par des tonnes d'extensions douteuses, là ou Safari reste "vierge" de toute contamination.

avatar Khrys | 

"Chrome va prendre les choses en main pour s’assurer que les téléchargements à partir de pages web sécurisées (HTTPS) soient sans danger."

En quoi le fait de télécharger certains types contenus depuis un site web dit "sécurisé", car accessible en HTTPS, garantie à l'utilisateur une totale immunité face à des contenus vérolés?

C'est l'échange de données entre le client et le serveur qui est sécurisé, et en aucun cas le contenu qui s'y trouve.

avatar RolandJDXI | 

Bienvenue dans 1984, à quand la police de la pensée et le ministère du Bonheur ?

@Khrys : +10000, c'est comme les chiottes publiques à Paris c'est écrit du bonnet à l'extérieur mais on en vend pas à l'intérieur.

Et minus premier qui vient nous dire que nous ne sommes pas en dictature !

avatar jackhal | 

Je pense que le meilleur moyen de se prémunir des logiciels et documents malveillants serait que Google ne permette à Chrome que de télécharger que des choses hébergées sur Google Cloud, qui serait scanné pour repérer les malwares.
Ça serait vraiment super.

CONNEXION UTILISATEUR