Passer au contenu principal
pdf?stylesheet=default
Blackboard Help

Sécurité du navigateur et contenu mixte

 Google Chrome et Mozilla Firefox ont mis en place des processus de blocage du contenu mixte pour protéger les ordinateurs contre les attaques de sécurité liées au contenu non sécurisé référencé depuis des pages sécurisées.

Sécurité : Contenu mixte dans les pages de site Web

Nature et enjeux du contenu mixte

Les sites Web qui demandent des informations confidentielles, telles que les noms d'utilisateur et les mots de passe, utilisent souvent des connexions sécurisées (https) pour transmettre du contenu vers et depuis l'ordinateur que vous utilisez. Si vous visitez un site via une connexion sécurisée, Google Chrome et Firefox vérifient que le contenu de la page Web a été transmis en toute sécurité. Si l'un des navigateurs détecte certains types de contenu sur la page provenant de canaux non sécurisés (http), le navigateur empêchera automatiquement le chargement du contenu et vous verrez une icône représentant un bouclier dans la barre d'adresse.

En bloquant le contenu et les failles de sécurité possibles, Chrome et Firefox protègent les informations saisies sur la page en les empêchant de tomber dans de mauvaises mains.

Types de contenu mixte

Il existe deux types de contenu qui ont une incidence sur l'expérience utilisateur lors de l'affichage d'une page Web dans le cadre du contenu mixte ; chacun d'eux présente des niveaux de risque différents :

Contenu mixte passif ou contenu mixte d'affichage

Le contenu mixte passif désigne le contenu HTTP sur un site Web HTTPS qui ne peut pas modifier le modèle DOM de la page Web.  Plus simplement, le contenu HTTP passif a un effet limité sur le site Web HTTPS.  Par exemple, un attaquant pourrait remplacer une image transmise par HTTP par une image inappropriée ou un message trompeur pour l'utilisateur. Cependant, l'attaquant n'aurait pas la capacité d'influer sur le reste de la page Web, mais uniquement sur la section de la page où l'image est chargée.

Un attaquant peut déduire des informations sur l'activité de navigation de l'utilisateur en observant les images affichées sur l'écran de l'utilisateur à partir des pages vues. De plus, en observant les en-têtes HTTP envoyés pour récupérer et envoyer l'image, l'attaquant peut afficher la chaîne de l'agent utilisateur et les cookies associés au domaine depuis lequel l'image est demandée. Si le contenu est affiché depuis le même domaine que la page Web principale, alors les informations de session sont potentiellement exposées, ce qui contourne la protection fournie par HTTPS au compte de l'utilisateur.

Exemples de contenu passif : images, contenus audio et contenus vidéo.

Contenu mixte actif ou contenu de script

Le contenu actif est un contenu qui a accès et qui peut affecter tout ou partie du modèle DOM d'une page HTTPS. Ce type de contenu mixte peut modifier le comportement d'une page HTTPS et potentiellement voler les données confidentielles de l'utilisateur. En plus des risques déjà décrits précédemment pour le contenu mixte passif, le contenu mixte actif est également exposé à un certain nombre de vecteurs d'attaque potentiels.

Exemple : Un attaquant MITM (Man In The Middle) peut intercepter les demandes pour le contenu actif HTTP. L'attaquant peut alors réécrire la réponse afin d'inclure du code JavaScript malveillant. Un script malveillant peut voler les identifiants de l'utilisateur, acquérir des données confidentielles sur l'utilisateur ou tenter d'installer des logiciels malveillants sur le système de l'utilisateur (en tirant parti des plug-ins vulnérables que l'utilisateur a installés, par exemple).

Exemples de contenu actif : JavaScript, CSS, objets, demandes XHR, iFrames et polices.

Plus besoin de contrôles du navigateur de l'utilisateur

Pour éviter d'avoir recours aux contrôles utilisateur, tout le contenu (passif et actif) doit être transmis via HTTPS.

Gestion du contenu mixte par le navigateur…

Les sections suivantes décrivent comment gérer les contrôles du navigateur pour accéder à du contenu mixte avec les navigateurs Google Chrome et Mozilla Firefox.

En suivant les pages d'exemple disponibles sur https://people.mozilla.org/~tvyas/mixedcontent.html, vous pourrez voir l'impact du contenu mixte sur l'expérience de navigation de l'utilisateur et comprendre l'impact des paramètres du navigateur sur l'affichage des pages.

Notez que les concepts de blocage du contenu mixte sont similaires entre navigateurs et que la gestion de l'accès et des niveaux d'information sont les principales différences entre les navigateurs prenant en charge le blocage du contenu mixte.

Visitez la section qui s'applique à votre navigateur pour plus de détails.