Après Internet Explorer et Firefox, le navigateur de Google va s'équiper d'une fonction pour contrer le « drive-by download », cette technique utilisée par les pirates pour installer des malwares sur des ordinateurs à l'insu des utilisateurs.
au sommaire
Les ingénieurs chez GoogleGoogle travaillent actuellement sur une protection contre le « drive-by download » ou téléchargement à la dérobée. Cette fonction intègrera le projet Chromium, le navigateur Web libre sur lequel est basé Google Chrome. Déjà présente dans la version bêta pour développeurs Chrome Canary, cette option devrait être proposée au grand public dans la version 73 de Chrome, en mars ou avril.
Le drive-by download est une attaque qui lance un téléchargement à l'insu de l'utilisateur afin d'infecter un ordinateur simplement en visitant une page Web. La technique est souvent utilisée par des sites vérolés, ou simplement via des publicités malveillantes sur des sites pourtant de confiance. Ce piège fonctionne en cachant le téléchargement du programme infecté à l'intérieur d'un cadre iFrame dans le code source de la page. Cependant, cette technique sert aussi à des fins légitimes, puisque certaines pages Web sont conçues pour lancer automatiquement un téléchargement à la demande de l'utilisateur, raison sans doute pour laquelle Google a tardé à réagir.
Une protection généralisée sur tous les navigateurs
Pour Google, il s'agit donc de différencier les téléchargements validés par l'utilisateur de ceux qui se lancent à son insu. Pour cela, une méthode simple : un blocage par défaut, et l'apparition d'une fenêtrefenêtre qui préviendra l'internaute. « Nous prévoyons d'empêcher les téléchargements dans les bacs à sablesable d'une iframe qui ne comportent pas de geste de l'utilisateur, et cette restriction pourrait être levée uniquement par un mot-clé avec une fonction "autoriser les téléchargements sans l'activation de l'utilisateur", s'il est présent dans la liste d'attributs du bac à sable », peut-on lire dans le document annonçant cette fonctionnalité.
Il était plus que temps que Google prenne cette mesure car son navigateur Chrome était très en retard là-dessus. Même s'ils sont beaucoup moins utilisés, Mozilla Firefox et MicrosoftMicrosoft Internet Explorer intègrent cette protection depuis plusieurs années déjà.
Google prévoit d'ajouter cette fonction à toutes les versions de Chrome, hormis celle sur iOSiOS qui est basée sur le projet WebKit et non Chromium. Cette protection devrait intégrer rapidement d'autres navigateurs également basés sur Chromium, comme Opera, Vivaldi, Brave et une prochaine version de Microsoft Edge.
