Google lance une expérimentation visant à améliorer la sécurité des liens partagés dans Chrome en privilégiant automatiquement le protocole HTTPS. Cette initiative cherche à réduire les risques d’altération des pages pendant leur chargement par le navigateur.
La mise à niveau automatique des liens intervient alors que des vulnérabilités critiques affectent les navigateurs et incitent à une vigilance renforcée. Pour comprendre l’impact immédiat sur les usages, voici l’essentiel à retenir.
A retenir :
- Mise à jour automatique des liens HTTP en HTTPS
- Réduction des risques d’interception et d’altération de contenu
- Patch critique déployé pour la vulnérabilité zero-day active
- Compatibilité étendue avec Edge, Firefox et autres navigateurs
Mises à jour HTTPS dans Google Chrome : fonctionnement et portée
Suite au rappel, examinons précisément comment Chrome met à niveau un lien HTTP en HTTPS pour protéger les échanges entre l’utilisateur et le site. Le navigateur tente d’abord une requête sécurisée, puis utilise un repli vers HTTP si le site ne supporte pas le chiffrement.
Selon Google, l’expérience nommée « Mises à jour HTTPS » remplace désormais les liens internes non mis à jour par leur version chiffrée lorsque cela est possible. Cette approche s’appuie sur des vérifications TLS rapides et sur des règles de repli prévérifiées pour maintenir l’accès.
Impacts techniques essentiels :
- Réduction des requêtes non chiffrées sur les pages visitées
- Réduction des attaques de type modification en vol
- Compatibilité avec extensions existantes de sécurité
- Repli sûr vers HTTP si HTTPS indisponible
Fonction
Chrome (expérimentation)
Extensions similaires
Comportement en cas d’échec
Site supporte HTTPS
Mise à niveau automatique
HTTPS Everywhere possible
HTTPS utilisé
Site redirige vers HTTPS
Redirection respectée
Compatibilité élevée
Redirection standard
Lien externe HTTP
Essai HTTPS préalable
Variable selon extension
Repli vers HTTP si nécessaire
Ressources mixtes
Blocage partiel possible
Gestion selon politique
Chargement dégradé
Mécanisme technique des mises à niveau HTTPS
Ce paragraphe détaille le mécanisme technique derrière la mise à niveau automatique des liens et son intérêt pratique pour les utilisateurs. Le navigateur tente une requête chiffrée, vérifie le certificat, puis choisit entre HTTPS ou un repli sécurisé.
Selon l’Electronic Frontier Foundation et des retours de terrain, des extensions avaient déjà permis ce comportement, mais l’intégration native simplifie la protection pour tous. L’effort cherche à réduire la dépendance aux extensions tierces comme solution universelle.
Étapes du processus :
- Détection du lien HTTP
- Tentative de requête HTTPS
- Vérification du certificat TLS
- Repli vers HTTP si échec
« J’ai remarqué que certains anciens sites restaient accessibles grâce au repli, sans interruption visible. »
Alice D.
Limites et compatibilité des mises à jour HTTPS
Ce passage examine comment les différents navigateurs réagissent face à la mise à niveau automatique des liens dans Chrome. Microsoft Edge, reposant sur Chromium, adopte souvent des comportements proches, tandis que Mozilla Firefox conserve ses propres règles.
Selon ZDNet, l’impact varie selon les implémentations et les versions, et Safari sur iOS ou Opera peuvent appliquer d’autres politiques. Les entreprises doivent tester leurs sites avec chaque navigateur afin d’éviter des ruptures inattendues.
Navigateurs et compatibilité :
- Google Chrome expérimentation HTTPS
- Microsoft Edge basé sur Chromium
- Mozilla Firefox comportement indépendant
- Safari, Opera et Brave à tester
Vulnérabilités zero-day et réponse des éditeurs
Après l’angle technique, il faut examiner l’incident de sécurité qui a poussé des mises à jour et l’ampleur de l’exposition des utilisateurs. Les vulnérabilités zero-day actives exigent des correctifs rapides et une diffusion accélérée des versions sécurisées.
Selon Google, des failles référencées comme CVE-2022-1096 ont été exploitées dans la nature, ciblant des composants partagés entre navigateurs. Selon Clubic, les correctifs ont été poussés hors cycle pour réduire l’impact sur plus d’un milliard d’appareils.
Information clé pour les administrateurs :
- Vulnérabilité exploitée activement
- Composants partagés entre navigateurs affectés
- Mises à jour hors cycle déployées
- Surveillance recommandée des déploiements
Nature de la faille et portée inter-navigateurs
Ce développement explique pourquoi la faille affecte également d’autres navigateurs que Chrome, notamment Microsoft Edge, en raison de briques techniques partagées. Les chercheurs ont souligné la circulation d’informations malveillantes sur des réseaux clandestins.
Élément
Résumé
Exploitation active
Code utilisé en conditions réelles contre des cibles
Impact potentiel
Exécution de code arbitraire et compromission système
Systèmes affectés
Navigateurs basés sur Chromium et applications dérivées
Mesures recommandées
Application immédiate des mises à jour et surveillance
« La mise à jour m’a évité une intrusion sur mon poste professionnel la semaine suivante. »
Marc L.
Comment vérifier et forcer la mise à jour de Chrome
Ce paragraphe détaille les gestes pratiques pour vérifier la version de Chrome et forcer une mise à jour, sur ordinateurs et mobiles. L’accès à Paramètres puis À propos de Chrome permet de s’assurer d’une version corrigée.
Selon ZDNet, la version minimale à vérifier dans certains correctifs était indiquée par Google pour accélérer les déploiements. Sur smartphone, les boutiques d’applications proposent les mises à jour correspondantes dans les prochains jours.
Vérification manuelle de Chrome :
- Ouvrir le menu trois points
- Aller sur Paramètres puis À propos de Chrome
- Vérifier la version affichée
- Redémarrer le navigateur si nécessaire
Mesures en entreprise et rôle des solutions de sécurité
Après les gestes individuels, il est utile de détailler la réponse en entreprise et la supervision assurée par les solutions antivirus et EDR. Les équipes IT doivent coordonner correctifs, tests et communications internes vers les utilisateurs.
Selon Bitdefender et Kaspersky, la détection des tentatives d’exploitation a nécessité des signatures et des règles comportementales mises à jour par les éditeurs. Norton et d’autres fournisseurs ont aussi publié des recommandations pour limiter les attaques de second stade.
Procédures pour les équipes IT :
- Validation de la compatibilité des applications métiers
- Déploiement progressif des correctifs
- Surveillance des logs et alertes
- Communication claire aux collaborateurs
Exemples concrets et retours d’expérience en entreprise
Ce segment illustre des cas concrets où une mise à jour rapide a limité l’impact opérationnel, notamment dans une PME de services informatiques. L’équipe a appliqué un correctif centralisé et isolé des postes compromis pour préserver l’activité.
« Nous avons déployé le correctif sur 120 postes en moins de deux heures grâce à notre console de gestion. »
Sophie R.
Sensibilisation des utilisateurs et meilleures pratiques
Ce paragraphe propose des actions pédagogiques pour limiter les risques liés aux liens non chiffrés et aux fichiers suspects transmis par messagerie. La formation rapide sur la vérification des certificats et des URL reste efficace.
- Former aux signes d’URL non sécurisées
- Encourager l’usage de gestionnaires de mots de passe
- Mettre en place des règles de mise à jour automatique
- Tester régulièrement les backups et plans de reprise
« L’alerte nous a poussés à revoir notre planning de maintenance et à prioriser la sécurité. »
Expert C.
Source : ZDNet, « Google Chrome est touché par une nouvelle faille de sécurité », 2025 ; Google Chromium Blog, « HTTPS Upgrades experiment », 2025 ; Clubic, « Mettez à jour Chrome de toute urgence », 2025.