Chrome 70 pour Windows, macOS et Linux permet aux utilisateurs de désactiver la connexion automatique, implémente de nombreux réglages de sécurité et ajoute le support des applications Web progressives sous Windows.
Google a mis à jour Chrome cette semaine à la version 70, suite à une promesse faite de désactiver la connexion automatique après que les utilisateurs et les défenseurs de la vie privée se sont plaints des changements apportés à l’édition précédente.
Chrome a également arboré des correctifs pour 23 vulnérabilités de sécurité comme Google a payé aux chercheurs 22.000 $ en bogues de bogues.
Chrome mises à jour en arrière-plan, de sorte que dans la plupart des cas, les utilisateurs peuvent simplement relancer le navigateur pour installer la dernière version. Pour mettre à jour manuellement, sélectionnez “À propos de Google Chrome” dans le menu Aide sous l’ellipse verticale en haut à droite ; l’onglet résultant montre que le navigateur a été mis à jour ou affiche le processus de téléchargement et de mise à niveau avant de présenter un bouton “Relancer”. Les utilisateurs de New-to-Chrome peuvent le télécharger depuis ce site Google.
La société Mountain View, Californie, met à jour Chrome toutes les six à sept semaines. La dernière mise à jour du navigateur remonte au 4 septembre.
Connexion automatique en marche arrière
À partir de Chrome 69, la connexion à n’importe quel service Google permet également à l’utilisateur de se connecter automatiquement à Chrome. Par exemple, se connecter à son compte Gmail s’est également connecté à son compte Google lors de l’ouverture de Chrome. (C’était le cas qu’un utilisateur ait accédé à Gmail en utilisant Chrome ou un autre navigateur, comme Firefox.
Parce que la connexion à un compte Google permettait la synchronisation des données – y compris les signets et les mots de passe – entre les machines, et parce que certains utilisateurs ne voulaient pas que leurs données transitent par les serveurs de Google – jamais – ils se sont fermement opposés à ce nouveau modèle.
Quand le blowback a explosé, Google a dit qu’il ajouterait une option pour désactiver la connexion automatique à Chrome 70. Mais elle ne s’est pas retirée de la position selon laquelle ce serait le cas par défaut.
Chrome 70 a inséré l’option dans le panneau Paramètres, appelé lorsque l’utilisateur clique sur l’ellipse verticale en haut à droite et choisit “Paramètres” dans le menu. Après avoir cliqué sur le bouton “Avancé” dans le panneau Paramètres, l’utilisateur peut basculer le curseur sous “Confidentialité et sécurité” marqué par la phrase “Autoriser la connexion au Chrome”. Une relance de Chrome sera nécessaire.
Avec le curseur basculé en position arrêt – déplacé vers la gauche – l’utilisateur peut se connecter à un service Google, comme Gmail, sans se connecter également à Chrome.
PWA et plus d’avertissements anti-HTTP
Sur Chrome fonctionnant sous Windows, Google a ajouté la prise en charge des ” Applications Web progressives “, ou PWA, en suivant le même mouvement sur Chrome OS avec la version 67 de ce système d’exploitation.
Les PWA sont, comme leur nom l’indique, des applications Web qui ont l’apparence et la convivialité des applications natives de l’OS. Plutôt que de fonctionner dans un cadre Chrome, par exemple, ils apparaissent dans la fenêtre standard du système d’exploitation. Sous Windows 10, une PWA fonctionne comme toute autre application, y compris l’installation dans le menu Démarrer.
Google a lancé des applications PWA plutôt que des applications Chrome – longtemps disponibles dans sa boutique en ligne – depuis qu’il a annoncé il y a deux ans qu’il allait les supprimer du navigateur et les diriger vers Chrome OS uniquement.
Google ajoutera le support PWA aux éditions macOS et Linux de Chrome avec la version 72 ; cela devrait être livré vers la mi-janvier.
Aussi nouveau à Chrome 70 a été une autre étape dans l’effort de longue date de Google pour sécuriser l’utilisateur en forçant les propriétaires de sites à abandonner HTTP et à instituer HTTPS à la place. Selon le plan de Google, Chrome 70 marque tout site HTTP avec une icône non sécurisée – un petit triangle rouge – et le texte “Non sécurisé” dans la barre d’adresse dès que l’utilisateur interagit avec un champ de saisie, tel qu’un champ de mot de passe ou un champ qui nécessite des informations de carte bancaire.
Plus de verrouillage de l’add-on
Plus tôt ce mois-ci, Google a pris note de nouvelles façons de verrouiller les extensions Chrome – pendant des années, le géant de la recherche a qualifié les extensions de cauchemars potentiels en matière de sécurité – notamment en exigeant que les développeurs adoptent une authentification à deux facteurs pour leurs comptes (afin que les criminels aient plus de mal à pirater ces comptes, puis en ajoutant des add-ons malveillants au Chrome Web Store) et en offrant aux utilisateurs une manière de limiter les autorisations accordées à un prolongement.
“A partir de Chrome 70, les utilisateurs auront le choix de restreindre l’accès de l’hôte de l’extension à une liste personnalisée de sites, ou de configurer les extensions de manière à exiger un clic pour accéder à la page en cours,” écrit James Wagner, chef de produit pour les extensions Chrome, dans un billet du 1er octobre sur un blog de la société. “Alors que les permissions d’hôte ont permis des milliers de cas d’utilisation d’extension puissants et créatifs, elles ont également conduit à une large gamme d’abus car elles permettent aux extensions de lire et de modifier automatiquement les données sur les sites Web.
Un clic droit sur l’icône d’un add-on fera apparaître de nouvelles options pour, par exemple, restreindre les permissions déjà convenues à cette page.
Nous avons testé l’amélioration de la gestion de l’add-on sur Windows et MacOS, mais aucune des deux versions de Chrome 70 n’a montré la preuve des nouvelles options. Ce n’était pas surprenant : Google n’active souvent une fonction Chrome qu’après une semaine ou plus, peut-être pour s’assurer que le navigateur mis à jour est entre les mains de la plupart des utilisateurs.
Google a également corrigé 23 vulnérabilités de sécurité dans la version 70, dont six marquées “High”, le deuxième rang le plus sérieux dans son système en quatre étapes. L’entreprise a coupé des chèques d’une valeur de 22 000 $ à des chercheurs pour avoir signalé 15 de ces bogues.
Dans un autre mouvement lié à la sécurité, Chrome 70 a fait le dernier mouvement d’une série que Google (et d’autres fabricants de navigateurs) a instituée contre les certificats SSL (Secure Socket Layer) accordés par Symantec. Tout certificat émis par Symantec doit déclencher un avertissement “Non sécurisé” dans la barre d’adresse du navigateur, indiquant essentiellement à l’utilisateur de ne pas faire confiance à la légalité du site.
Ce devait être la dernière étape d’un processus décrit il y a plus d’un an, après que Google et Mozilla – le fabricant de Firefox – aient accusé Symantec et ses partenaires d’émettre des certificats de manière incorrecte, en violation des règles établies par le CA/Browser Forum, un groupe de normalisation dont les membres sont des fabricants de navigateurs et des autorités de certification. Google et d’autres ont déclaré que les problèmes de Symantec étaient endémiques et que les incidents accumulés prouvaient qu’il n’était pas digne de confiance d’une manière critique : qu’un site Web était ce qu’il prétendait être, et non un faux jeu sur le vol de l’argent ou des données des utilisateurs.
(Mozilla a annoncé la semaine dernière qu’il retardait une démarche similaire de la part de Firefox, affirmant que ” bien plus de 1% des 1 million de sites web utilisent encore un certificat Symantec qui ne sera pas fiable “. Mozilla a décidé que c’était trop pour continuer.
Nous avons utilisé une liste de sites qui, à la fin septembre, utilisaient encore un certificat Symantec et, après vérification ponctuelle, a trouvé très peu de sites qui n’avaient pas changé à temps pour Chrome 70. Certains l’ont porté au micro, cependant, en obtenant un nouveau certificat il y a quelques jours à peine.
La prochaine mise à jour de Chrome, la version 71, est prévue pour le 4 décembre.
Soyez le premier à commenter