Google a sorti la version 71 de son navigateur Chrome en début de semaine, ainsi que des correctifs pour 43 problèmes de sécurité. Cette dernière version de Chrome intègre également plusieurs nouvelles mesures de sécurité.
La nouvelle fonctionnalité de sécurité la plus importante de Chrome 71 est sans doute sa technologie anti-abus, qui cible les publicités trompeuses qui ciblent délibérément les utilisateurs. Ces sites utilisent toute une gamme de techniques telles que la présentation de boutons censés lancer une vidéo ou fermer une fenêtre, mais qui déclenche en fait une autre action comme celle d’ouvrir une fenêtre publicitaire.
De tels sites sont également connus pour utiliser de faux messages de chat, des zones transparentes cliquables sans que l’utilisateur ne le sache, des redirections automatiques sans interaction avec l’utilisateur et des publicités utilisant de faux curseurs de souris mobiles pour inciter les utilisateurs à cliquer sur une zone donnée. Selon l’entreprise, les scammeurs et les phishers utilisent parfois ces techniques pour voler des données personnelles.
Google intensifie les mesures anti-abus lancées l’année dernière en identifiant les sites qui persistent à utiliser ces techniques abusives afin de diffuser des annonces et en bloquant totalement la publicité. Les propriétaires de site recevront un avertissement sous 30 jours.
Une autre mesure anti-abus concerne les sites d’abonnement mobiles. Ces sites web invitent les utilisateurs à entrer leur numéro de téléphone en échange d’un service. Les frais apparaissent alors comme un abonnement sur leur facture de téléphone portable. Dans de nombreux cas, ces paiements ont été réalisés via un moyen légal. Cependant, certains sites abusent de cette fonctionnalité en induisant les utilisateurs en erreur quant au montant qu’ils peuvent s’attendre à payer ou au fait qu’ils soient facturés ou non.
Chrome 71 identifie ces sites, puis avertit les utilisateurs avant qu’ils ne les visitent :
En règle générale, les sites peuvent éviter cet avertissement en suivant les bonnes pratiques de Google en matière de facturation mobile. Si leurs sites reçoivent un écran d’avertissement, Google fera de son mieux pour le leur faire savoir, à l’aide de son service Search Console, si le site y est enregistré. Le propriétaire peut alors apporter les modifications nécessaires et faire appel pour que l’avertissement soit supprimé.
De plus, Chrome 71 n’autorisera plus les sites web à communiquer avec les utilisateurs, à moins que ceux-ci n’interagissent en premier avec le site visité. Cela empêchera les sites d’abuser de l’API vocale en tentant de persuader des utilisateurs d’engager, malgré eux, certaines actions. Google avait déjà mis en place des restrictions sur la lecture automatique pour toutes ses autres API Chrome, mais cette fonctionnalité comporte un bug signalé pour la première fois en février dernier. Chrome 71 suivra des règles similaires dans le cadre de sa stratégie de lecture automatique pour l’audio en ligne, à l’instar de celles déjà introduites pour d’autres contenus dans Chrome 66.
Avec Chrome 71, Google supprime également la fonctionnalité d’installation intégrée qui permettait aux utilisateurs d’installer des extensions de navigateur sur des sites autres que le Chrome web store officiel. Cela sera beaucoup plus difficile pour des individus potentiellement malveillants de persuader les utilisateurs d’installer des extensions malveillantes.
Google avait déjà commencé à restreindre l’installation en ligne dans Chrome, la rendant indisponible pour toutes les extensions nouvellement publiées à partir de juin et en la désactivant en septembre pour les extensions existantes. Cette dernière version supprimera définitivement le code dans Chrome qui autorisait les installations en ligne.
Ces améliorations de la sécurité sont les dernières parmi les nombreuses innovations introduites par Google cette année. L’entreprise a également déployé de nouvelles règles pour les développeurs d’extensions et un générateur de mot de passe natif.
Billet inspiré de Chrome 71 stomps on abusive advertising, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.