Sécurité du navigateur et contenu mixte

Google Chrome et Mozilla Firefox ont mis en place des processus de blocage du contenu mixte pour protéger les ordinateurs contre les attaques de sécurité lorsqu'ils sont exposés à du contenu non sécurisé référencé depuis des pages sécurisées.


Nature et enjeux du contenu mixte

Les sites Web qui demandent des informations confidentielles, telles que les noms d'utilisateur et les mots de passe, utilisent souvent des connexions sécurisées (https) pour transmettre du contenu vers et depuis l'ordinateur que vous utilisez. Si vous visitez un site via une connexion sécurisée, Google Chrome et Firefox vérifient que le contenu de la page Web a été transmis en toute sécurité. Si l'un des navigateurs détecte certains types de contenu sur la page provenant de canaux non sécurisés (http), le navigateur empêchera automatiquement le chargement du contenu et vous verrez une icône représentant un bouclier dans la barre d'adresse.

En bloquant le contenu et les failles de sécurité possibles, Chrome et Firefox protègent les informations saisies sur la page en les empêchant de tomber dans de mauvaises mains.


Types de contenu mixte

Deux types de contenu ont une incidence sur l'expérience utilisateur lors de l'affichage d'une page Web et, dans le cadre du contenu mixte, chacun d'eux présente des niveaux de risque différents :

  • Contenu mixte passif ou contenu d'affichage
  • Contenu mixte actif ou contenu de script

Contenu mixte passif ou contenu d'affichage

Le contenu mixte passif désigne le contenu HTTP sur un site Web HTTPS qui ne peut pas modifier le modèle DOM de la page Web. Plus simplement, le contenu HTTP passif a un effet limité sur le site Web HTTPS. Par exemple, un attaquant pourrait remplacer une image transmise par HTTP par une image inappropriée ou un message trompeur pour l'utilisateur. Cependant, l'attaquant n'aurait pas la capacité d'influer sur le reste de la page Web, mais uniquement sur la section de la page où l'image est chargée.

Un attaquant peut déduire des informations sur l'activité de navigation de l'utilisateur en observant les images affichées sur l'écran de l'utilisateur à partir des pages vues. De plus, en observant les en-têtes HTTP envoyés pour récupérer et envoyer l'image, l'attaquant peut afficher la chaîne de l'agent utilisateur et les cookies associés au domaine depuis lequel l'image est demandée. Si le contenu est affiché depuis le même domaine que la page Web principale, alors les informations de session sont potentiellement exposées, ce qui contourne la protection fournie par HTTPS au compte de l'utilisateur.

Exemples de contenu passif : images, contenus audio et contenus vidéo.

Contenu mixte actif ou contenu de script

Le contenu actif est un contenu qui a accès à tout ou partie du modèle DOM d'une page HTTPS et peut l'affecter. Ce type de contenu mixte peut modifier le comportement d'une page HTTPS et potentiellement voler les données confidentielles de l'utilisateur. En plus des risques déjà décrits précédemment pour le contenu mixte passif, le contenu mixte actif est également exposé à un certain nombre de vecteurs d'attaque potentiels.

Exemple : Un attaquant MITM (Man In The Middle) peut intercepter les demandes pour le contenu actif HTTP. L'attaquant peut alors réécrire la réponse afin d'inclure du code JavaScript malveillant. Un script malveillant peut voler les identifiants de l'utilisateur, acquérir des données confidentielles sur l'utilisateur ou tenter d'installer des logiciels malveillants sur le système de l'utilisateur (en tirant parti des plug-ins vulnérables que l'utilisateur a installés, par exemple).

Exemples de contenu actif : JavaScript, CSS, objets, requêtes XHR, iFrames et polices.


Plus besoin de contrôles du navigateur de l'utilisateur

Pour améliorer l’expérience utilisateur et éviter aux utilisateurs d'avoir à paramétrer le navigateur, tout le contenu est présenté en HTTPS.


Gestion du contenu mixte par le navigateur

Une fois que vous aurez regardé les exemples sur le site Web de Mozilla, vous pourrez voir l'impact du contenu mixte sur l'expérience de navigation de l'utilisateur et comprendre l'impact des paramètres du navigateur sur l'affichage des pages.

Notez que les concepts de blocage du contenu mixte sont similaires entre navigateurs et que la gestion de l'accès et des niveaux d'information sont les principales différences entre les navigateurs prenant en charge le blocage du contenu mixte.

Les pages Web sécurisées transmises par HTTPS peuvent inclure des éléments non sécurisés laissant vos informations vulnérables aux attaques. Lorsqu'une page contient à la fois des éléments sécurisés et des éléments non sécurisés, on parle de contenu mixte.

Pour vous protéger des risques associés au contenu mixte, Mozilla Firefox bloque l'affichage du contenu non sécurisé sur les pages sécurisées. Si vous souhaitez parcourir une page contenant des éléments non sécurisés, vous pouvez choisir d'afficher ce contenu en quelques étapes. Cet article décrit comment gérer les contrôles du navigateur pour accéder à du contenu mixte avec les navigateurs Mozilla Firefox v23 et versions ultérieures.


Gestion des paramètres de contenu bloqué

Lorsque vous ouvrez une page incluant du contenu mixte dans Firefox, un bouclier s'affiche dans la barre d’emplacement. Il indique que du contenu a été bloqué. Sélectionnez l'icône pour désactiver temporairement cette fonctionnalité de sécurité et afficher le contenu non sécurisé.

Sélectionnez la fonction de désactivation temporaire de la protection si vous souhaitez afficher ce contenu. La page se recharge et deux icônes apparaissent dans la barre d'emplacement : un bouclier barré d'une ligne rouge et un triangle jaune avec un point d'exclamation. Ces icônes vous rappellent que certains contenus sur la page peuvent constituer une menace pour vos informations.


Firefox : Blocage du contenu mixte

Mozilla Firefox utilise le blocage du contenu mixte pour protéger vos informations, mais vous avez également la possibilité de choisir d'afficher ou non le contenu mixte actif. Ce type de contenu peut modifier le comportement d'une page et potentiellement voler les données confidentielles de l'utilisateur. En revanche, le contenu mixte passif ne peut pas modifier le comportement de l'intégralité de la page, mais uniquement le contenu non sécurisé (HTTP).

Le contenu mixte passif est fréquemment utilisé en ligne et concerne des éléments de pages Web tels que les images, le contenu audio et le contenu vidéo. Firefox ne bloque pas automatiquement ce type de contenu car de nombreuses pages Web seraient altérées, ce qui aurait un impact sur l'expérience utilisateur. Cependant, il existe un moyen de bloquer le contenu mixte passif en modifiant la configuration de votre navigateur.


Autres ressources

Vous trouverez plus d'informations sur le contenu mixte dans les articles suivants sur le site Web de Mozilla :