La dernière version de Chrome 70 – qui représente quand même 60% des utilisateurs dans le monde tout appareils confondus – est sortie le 17 octobre dernier. Celle-ci embarque 2 changements majeurs dont il est bon de vous parler.
Chrome 70 : décollage imminent pour PWA
Comme indiqué sur le site developers.google.com, Chrome 70 sous Windows 10 met en application les fonctionnalités des Progressive Web Apps. Le support des PWA pour MacOS et à Linux est prévu à partir de la version Chrome 72. Pour rappel, PWA permet :
- une application en plein écran,
- une icône applicatif sur le bureau
- un chargement rapide,
- un système de notification,
- et un fonctionnement hors connexion.
En effet, la grande nouveauté étant qu’il est désormais possible d’installer directement une PWA
- soit via le menu d’outil en haut à droite en cliquant sur “Installer [nom de la PWA]”
- soit depuis un message que la PWA vous proposerait.
Des sites tel que Twitter et Spotify (et artwai.com) profite déjà de ces fonctionnalités. C’est plus claire dans cette vidéo :
Chrome 70 inflexible sur la sécurité !
Une nouvelle API de gestion des informations d’identification
La nouvelle API de gestion des informations d’identification intégrée dans Chrome 70, permet à votre site d’interagir avec le navigateur ou les services de Google et Facebook pour vous identifier. On notera que l’utilisation de clé publique permet une identification plus sûre, plus “forte” avec des authentifications à 2 facteurs et même d’utiliser un lecteur d’empreinte digitale.
Toujours en matière de sécurité Chrome 70 devient très exigeant . Nous avions déjà informé sur ce point, mais là cette nouvelle version va encore plus loin. En effet, Google a décidé de signaler comme non sécurisé les sites n’utilisant pas des certificats HTTPS assez fiable.
Certificats HTTPS ?
Les certificats HTTPS cryptent les données entre votre ordinateur et le site Web ou l’application que vous utilisez, ce qui rend presque impossible l’interception de vos données par quiconque, même sur votre hotspot Wi-Fi public. De plus, les certificats HTTPS prouvent l’intégrité du site que vous visitez en s’assurant que les pages n’ont pas été modifiées d’une quelconque façon par un attaquant. La plupart des sites Web obtiennent leurs certificats HTTPS auprès d’une autorité de certification, qui respecte certaines règles et procédures auxquelles les navigateurs Web font confiance au fil du temps.
Si vous ratez cela et que vous perdez leur confiance, les navigateurs peuvent débrancher tous les certificats de cette autorité.
C’est exactement ce qu’a décidé Google suite à la multiplication d’incidents de sécurité malgré l’indication du cadenas sécurisé dans la barre d’Url de Chrome… Google voulant s’assurer la confiance de ses utilisateurs a donc pris des mesures. Pour le moment c’est six certificats pour lesquels, Chrome 70 affichera un message de sécurité :
- Symantec,
- Thawte,
- VeriSign,
- Equifax,
- Geotrust
- et rapidSSL.
On notera que ces certificats HTTPS sont très populaires. On notera parmi les sites concernés celui de la banque de l’état indien.
Votre site web est peut-être aussi concerné : on ne saurait que vous recommander de vous rapprocher de votre hébergeur pour vérifier ce point.
Le cas Let’s Encrypt
Pour nos hébergements, la plupart des nos clients bénéficient d’un certificat HTTPS fournit par Let’s Encrypt qui n’est donc pas impacté par la mesure de Chrome 70.
Né en 2015, Let’s Encrypt fournit des certificats gratuits et bien approuvés par les principaux programmes de certificats racines, parmi lesquels figurent ceux de Microsoft, Google, Apple, Mozilla, Oracle et Blackberry. En septembre 2018, Let’s Encrypt revendiquait 380 millions de certificats HTTPS.
Photo par PhotoMIX Ltd. via Pexels
