Chrome 90 : HTTPS comme protocole par défaut, 37 vulnérabilités corrigées, etc.
Google Chrome 90 est disponible au téléchargement ! Cette nouvelle version s'accompagne de quelques changements et nouveautés, mais Google a corrigé également 37 failles de sécurité, dont une Zero-Day.
Chrome 90 : 37 failles de sécurité corrigées
Près de 40 failles de sécurité corrigées par Google à l'occasion de la sortie de Chrome 90. Il semblerait que Google ait pris la décision de repousser d'une journée la sortie de Chrome 90 pour corriger la faille Zero-Day dévoilée publiquement sur Twitter en début de semaine. Pour rappel, il s'agit d'une faille utilisée aussi lors de la compétition de hacking Pwn2Own.
Rien que pour cette raison, je vous recommande de mettre à jour Chrome dès que possible. Pour le faire sur votre machine, il suffit d'ouvrir le menu en haut à droite, d'aller dans "Aide" puis "A propos de Google Chrome". Ensuite, le navigateur va automatiquement vérifier la présence d'une nouvelle mise à jour.
La liste de toutes les CVE corrigées est disponible ici.
Chrome 90 : HTTPS par défaut, encodeur AV1, protection attaque NAT Slipstreaming, etc.
➡ HTTPS par défaut
Avec Chrome 90, le protocole HTTPS devient le protocole par défaut à la place de HTTP : qu'est-ce que cela signifie ? Lorsque vous tentez d'accéder à un site via la barre d'adresse sans spécifier le protocole, c'est-à-dire sans indiquer "http://" ou "https://" en début d'adresse, Chrome va automatiquement utiliser le protocole HTTPS et ajouter "https://". Un changement qui n'est pas sans conséquence pour tous les sites non sécurisés et toutes les applications en entreprise accessible par via HTTP : il va falloir prévenir vos utilisateurs ou déployer des favoris dans le navigateur Chrome si ce n'est pas déjà fait, simplement pour éviter les problèmes.
Pour les sites accessibles en HTTPS, il y a généralement une redirection HTTP vers HTTPS : le fait d'ajouter HTTPS nativement va permettre d'éviter cette redirection, ce qui peut représenter un léger gain en performance.
Google précise que pour les adresses basées sur une adresse IP ou un nom réservé comme "localhost" ou "test", le protocole par défaut restera HTTP.
➡ Encodeur AV1
Chrome 90 intègre un nouvel encodeur AV1 qui a pour objectif d'améliorer les performances avec les outils de webconférences qui s'appuie sur la technologie WebRTC. Pour améliorer les perfs, cela passe par une compression plus efficace, ce qui se traduira par une réduction de la consommation de la bande passante et une meilleure qualité vidéo. Google met en avant un gain sur le partage d'écran mais aussi sur l'utilisation de la vidéo sur des réseaux avec une bande passante très faible.
➡ Recherche dans les groupes d'onglets
Google continue de déployer la fonctionnalité "Tab Search" à tous les utilisateurs, nativement, sans avoir à l'activer dans la configuration du navigateur. Elle permet de rechercher un onglet facilement : vous saisissez un mot clé et le navigateur vous sort tous les onglets ouverts correspondants. Bien pratique si l'on a plusieurs dizaines d'onglets ouverts en même temps : une pratique courante, je dis ça, je dis rien ?
➡ Attaque NAT Slipstreaming
Pour vous protéger des attaques du type "NAT Slipstreaming", Google a pris la décision de bloquer les requêtes HTTP, HTTPS et FTP qui s'appuient sur le port 554. Ce port a déjà été bloqué mais Google l'avait débloqué car les développeurs n'étaient pas content. Après analyse, Google a pris la décision de le bloquer une nouvelle fois puisqu'il y aurait seulement 0,00003% des requêtes qui utilisent ce port. Avec une attaque de type NAT Slipstreaming, l'attaquant peut passer outre le NAT de votre routeur et accéder à votre réseau local.
