Chrome va limiter l’accès au réseau local à partir des sites Web

Google souhaite renforcer la sécurité de son navigateur Chrome en empêchant les sites Web d'accéder aux ressources situées sur votre réseau local, pour une raison évidente de sécurité. Voici ce qu'il faut savoir au sujet de cette nouveauté.

Afin de lutter contre les intrusions effectuées à partir du navigateur, Google Chrome va intégrer une nouvelle fonctionnalité de sécurité qui va empêcher les sites Web, c'est-à-dire les sites publics, d'accéder directement aux ressources situées sur le réseau local (ou privé) auquel est connectée la machine de l'utilisateur.

L'intégration de cette nouvelle fonctionnalité va être réalisée en deux temps. Une première phase d'intégration sera effectuée à l'occasion de la sortie de Chrome 98, avant une intégration définitive au sein de Chrome 101. Pour rappel, Chrome est aujourd'hui en version 97. Une nouvelle spécification W3C baptisée PNA pour Private Network Access sera implémentée à cette occasion.

Comme l'explique l'équipe de Google, lorsqu'un site Web souhaitera accéder à des ressources situées sur un réseau privé, une demande de contrôle CORS sera envoyée afin de demander une autorisation explicite. Pour être précis, un nouvel en-tête "Access-Control-Request-Private-Network : true" sera ajouté et il attendra une réponse sous la forme "Access-Control-Allow-Private-Network : true". Google précise que ce mécanisme de sécurité permettra de protéger les utilisateurs contre les attaques de type CSRF.

Au sujet des demandes de contrôle CORS, voici ce que dit le site de Mozilla : Le "Cross-origin resource sharing" (CORS) ou "partage des ressources entre origines multiples" est un mécanisme qui consiste à ajouter des en-têtes HTTP afin de permettre à un agent utilisateur d'accéder à des ressources d'un serveur situé sur une autre origine que le site courant.

Concrètement, à partir de Chrome 101, tout site Web (accessible via Internet) devra demander l'autorisation explicite au navigateur avant de pouvoir accéder aux ressources du réseau interne, via ce mécanisme de sécurité "PNA". La sortie en version stable de Chrome 101 est prévue pour le 26 avril 2022, d'après la feuille de route officielle.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3786 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.