Avec son navigateur Chrome, Google va alerter les utilisateurs lorsqu'ils remplissent des formulaires en ligne non sécurisés sur des pages ayant pourtant recours au protocole HTTPS. Il est ici question de formulaires mixtes.

Un tel mélange est en rapport avec des formulaires sur des sites HTTPS qui ne sont cependant pas soumis via HTTPS. Il y a alors évidemment un risque en matière de sécurité et de confidentialité pour les utilisateurs.

" Les informations soumises sur ces formulaires peuvent être visibles par des espions (ndlr : attaques de type man-in-the-middle), ce qui permet à des tiers malveillants de lire ou de modifier des données sensibles du formulaire ", écrit Shweta Panditrao de l'équipe Chrome Security.

chrome-alerte-formulaire-non-securise-1

chrome-alerte-formulaire-non-securise-2

La problématique des contenus mixtes n'est pas nouvelle. Elle fait plus globalement référence à des ressources chargées via une connexion non sécurisée HTTP, alors que c'est une connexion avec HTTPS qui a été initiée. Cela vaut un retrait de l'icône en forme de cadenas dans la barre d'adresse. Google a manifestement jugé que ce n'était pas suffisant.

La mesure de protection sera mise en place à partir de la version 86 de Google Chrome attendue pour le mois d'octobre prochain. Le remplissage automatique sera en outre désactivé sur des formulaires mixtes.