Google a finalement mis à disposition la version stable 90 de son populaire navigateur web Chrome, qui comprend plusieurs améliorations de la sécurité, un nouvel encodeur AV1 et modifie le protocole par défaut en HTTPS, afin de garantir des connexions plus sûres. En particulier, comme le rapportent nos collègues de Bleeping Computer, 37 bogues ont été corrigés, dont un jour zéro utilisé lors du concours Pwn2Own et rendu public lundi dernier sur Twitter.
Le passage au protocole HTTPS par défaut est très important, puisque désormais chaque URL saisie dans la barre d’adresse sera automatiquement considérée comme une connexion HTTPS. Auparavant, toutefois, c’est le protocole HTTP, plus classique, qui était utilisé. Cela permettra non seulement d’assurer des connexions plus sûres, mais aussi de réduire le nombre de redirections, car de nombreux sites redirigent déjà automatiquement de HTTP à HTTPS. Il existe toutefois quelques exceptions à cette nouvelle règle, puisque « les adresses IP, les domaines à label unique et les noms d’hôtes réservés comme test/ ou localhost/ continueront d’être configurés en HTTP par défaut« , comme le précise Google sur son blog.
Plus de sécruité
Chrome 90 comprend également une protection supplémentaire contre les attaques NAT Slipstreaming en bloquant les connexions FTP, HTTP et HTTPS sur le port 554. Les attaques NAT Slipstreaming abusent de la fonctionnalité ALG (Application Level Gateway) d’un routeur pour accéder à n’importe quel port d’un réseau interne, ce qui permet potentiellement aux acteurs de la menace d’accéder à des services normalement protégés par le routeur.
Enfin, Chrome 90 inclut désormais un encodeur AV1 afin d’accroître les performances des logiciels de vidéoconférence qui utilisent WebRTC pour une meilleure efficacité de la compression et permettre la transmission de flux vidéo même par des utilisateurs disposant d’une connexion à très faible bande passante.