Un service en ligne aussi populaire que Gmail finit forcément par devenir la cible des pirates.
C'est pourquoi, depuis des années Gmail n'est accessible qu'en mode sécurisé HTTPS afin de prévenir, en principe, toute intrusion dans les courriels des utilisateurs.
Mais, pour renforcer davantage la sécurité de Gmail, Google annonce aujourd'hui que son système de messagerie supporte désormais Content Security Policy (CSP).
Content Security Policy (abrégé CSP) est un mécanisme de sécurité permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés. Cela permet de mieux se prémunir d'une éventuelle faille XSS.
Les navigateurs ne supportant pas la spécification ignorent simplement l'en-tête, cela est donc transparent pour le visiteur.
Techniquement, le site internet envoie la liste des sites autorisés (sous forme de liste de noms de domaine) via l'en-tête HTTP Content-Security-Policy.
En supportant donc Content Security Policy (CSP), Google offre des moyens à Gmail d'empêcher des attaques à partir de sites externes et de plugins malveillants qui pourraient s'introduire dans les boîtes de réception des utilisateurs et potentiellement voler leurs données.
En d'autres termes, conformément à CSP, Google a établi un système de liste noire (blacklist) et de liste blanche (whitelist) pour empêcher les sites de télécharger des codes suspects ou malveillants suggérés par des sites tiers afin d'éviter des attaques entre sites à partir de scripts malicieux.
Il utilise donc l'en-tête HTTP pour indiquer au navigateur de seulement exécuter et afficher le code à partir des sites de confiance. Donc si un pirate tente d'inciter un site à télécharger un autre code que celui initialement prévu, le site affichera automatiquement un message d'erreur.
Google fait savoir que les extensions les plus populaires pour Gmail ont déjà été mises à jour et devraient continuer à fonctionner normalement comme d'habitude. Dans le cas où l'une de vos extensions Gmail favorites auraient arrêté de fonctionner dans Chrome ou Firefox, Google recommande de la mettre immédiatement à jour avec sa dernière version.
À l'heure actuelle, seuls Mozilla Firefox, Google Chrome et Safari prennent pleinement en charge Content Security Policy (CSP). Ce qui ne serait donc pas le cas d'Internet Explorer.
