Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Cahier de vacances : navigateurs Web et nouveautés, comment bien préparer la rentrée ?

30 juil. 2020 - 14:04,
Tribune - Charles Blanc-Rolin
Les RSSI ne s’arrêtant jamais vraiment, je vous propose un cahier de vacances sur le thème des nouveautés à connaître qui sont et vont être implémentées dans les navigateurs Web et ce sur quoi il va falloir se pencher à la rentrée si ce n’est pas déjà fait...

→ Capri Flash Player c’est fini !

Annoncé il y a trois ans maintenant par l’éditeur Adobe, le lecteur de contenus multimédias Web Flash Player arrivera officiellement en fin de vie à la fin de cette année [1].
Au-delà de l’arrêt du support par Adobe, les navigateurs Web du marché ne supporteront donc définitivement plus les contenus Flash dans les mois à venir. Mozilla annonce l’arrêt le support de Flash dès la version 84 de Firefox prévue pour le mois de décembre [2], idem côté Microsoft qui prévoit l’arrêt du support de Flash dans Internet Explorer et Edge (non basé sur Chromium) au mois de décembre [3]. Chez Google, c’est en janvier 2021 que sonnera le glas avec la version 88 de Chrome / Chromium [4].
Attention donc aux sites et applications Web vieillissant utilisés en interne s’appuyant sur du contenu Flash !

→ Certificat TLS de moins de 398 jours : « je walide » :

Apple a annoncé début mars [5], que tout nouveau certificat TLS permettant le chiffrement de flux (HTTP, SMTP..) créé à partir du 1erseptembre 2020, ne serait plus considéré comme valide par les produits Apple si sa période de validité excédait 398 jours ! Ce qui devait arriver, est arrivé, Google a suivi le mouvement et a annoncé fin juin que son navigateur Chrome / Chromium [6] appliquerait la même politique dès le mois de septembre, et plus récemment, Mozilla a annoncé que la validité des certificats TLS passerait de 825 à 398 jours dans le navigateur Firefox [7].

Attention à vos renouvellement de certificat TLS publiques !

→ TLS 1.2 minimum !

Les protocoles TLS 1.0 et 1.1 ne sont / seront plus supportés dans les principaux navigateurs Web.
Microsoft a annoncé en mars, repousser au 8 septembre la désactivation du support des protocoles de chiffrement obsolètes dans ses navigateurs Web Internet Explorer et Edge (non basé sur Chromium), pour cause d’impossibilité d’accès à certains sites gouvernementaux en pleine crise sanitaire [8]. Côté Mozilla, la désactivation prévue pour mars est effective depuis la version 78 de Firefox publiée fin juin [9]. La branche 68 ESR n’est pas affectée, mais le répit ne sera que de courte durée avec l’arrivée de la branche 78 ESR et la dernière version 68 ESR prévue pour la fin du mois d’août. Google indique qu’il sera possible de réactiver le support de TLS 1.0 et 1.1 via GPO jusqu’en janvier 2021 [10].
N’ayant pas eu de communication contraire chez Apple, nous pouvons supposer que la désactivation est là aussi effective [11].

Attention à vos applications Web internes ! Si vos serveurs Web sont obsolètes, il est possible que vous ayez la désagréable surprise de voir vos utilisateurs dans l’incapacité d’y accéder. Idem pour vos sites et applications Web disponibles depuis Internet. La désactivation de TLS 1.0 et 1.1 est vivement recommandée également sur vos serveurs Web.

→ Bye bye HTTP ?

Firefox proposera directement depuis l’onglet paramètres, la possibilité d’activer le mode « HTTPS uniquement » dès la version 80, prévue pour la fin du mois d’août [12]. Cette fonctionnalité inspirée de l’excellent module additionnel HTTPS Everywhere proposé par l’EFF [13] permet de forcer l’utilisation du protocole HTTPS partout, y compris sur des pages HTTPS incluant du contenu tiers non chiffré.
L’arrivée de cette nouvelle fonctionnalité laisse penser que la fin de l’utilisation du protocole HTTP se rapproche, même si ce n’est pas encore pour demain.

Désolé, je n’ai pas prévu d’activité coloriage cette semaine.

Bonnes vacances malgré tout.


[1] https://theblog.adobe.com/adobe-flash-update/

[2] https://developer.mozilla.org/en-US/docs/Plugins/Roadmap

[3] https://blogs.windows.com/msedgedev/2019/08/30/update-removing-flash-microsoft-edge-internet-explorer/

[4] https://www.chromium.org/flash-roadmap#TOC-Flash-Support-Removed-from-Chromium-Target:-Chrome-88---Jan-2021-

[5] https://support.apple.com/en-us/HT211025

[6] https://chromium-review.googlesource.com/c/chromium/src/+/2258372

[7] https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/

[8] https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

[9] https://support.mozilla.org/fr/kb/firefox-enterprise-78-release-notes

[10] https://security.googleblog.com/2018/10/modernizing-transport-security.html

[11] https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

[12] https://www.ghacks.net/2020/07/11/firefox-80-https-only-mode-in-settings/

[13] https://www.eff.org/fr/https-everywhere 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.