Effet sur les sites web des clients et sur les services et produits Microsoft dans les versions 80 ou ultérieures de Chrome
Remarque
Cet article faisait précédemment référence à la version bêta de Google Chrome 79. Il est prévu que Google publie un comportement de cookie dans la version stable de Chrome 80. Chrome a mis à jour son calendrier de déploiement pour indiquer le déploiement de cette modification dans Chrome 80 à compter de la semaine du 17 février. Chrome 80 sera disponible le 4 février et cette fonctionnalité sera désactivée par défaut. La fonctionnalité sera activée selon un calendrier progressif à partir du 17 février.
Résumé
La version stable du navigateur web Google Chrome (build 80, publication planifiée au 4 février 2020) déploiera une modification du comportement par défaut des cookies à compter de la semaine du 17 février. Bien que cette modification vise à décourager le suivi des cookies malveillants et à protéger les applications web, elle devrait également affecter de nombreuses applications et services basés sur des standards ouverts. Cela inclut les services de cloud computing Microsoft.
Les clients professionnels sont invités à s’assurer qu’ils sont préparés à cette modification et prêts à implémenter des mesures d’atténuation en testant leurs applications (qu’elles soient personnalisées ou achetées). Pour plus d’informations, consultez la section « Recommandations ».
Microsoft s’engage à corriger cette modification de comportement dans ses produits et services avant la date de publication de Chrome 80. Cet article présente les conseils de Microsoft et Google concernant l’installation des différentes mises à jour requises pour les produits et les bibliothèques, ainsi que les conseils relatifs aux tests et à la préparation. Cependant, il est tout aussi important de tester vos propres applications par rapport à cette modification de comportement dans Chrome et, le cas échéant, de préparer vos sites et applications web.
Effet sur les applications clientes
Remarque
Si vous ne pouvez pas vérifier les autorisations lorsque vous essayez d’activer un bac à sable Microsoft Learn, effacez les données de navigation en accédant à chrome://settings/clearBrowserData.
Tous les services de cloud computing Microsoft sont mis à jour pour se conformer aux nouvelles exigences définies par Chrome, mais d’autres applications peuvent encore être affectées. Consultez la section « Recommandations » pour obtenir une liste de produits serveurs qui nécessiteront une mise à jour de la part des clients.
Vous devez tester toutes les applications de manière approfondie à l’aide de la version bêta de Chrome 80 pour vérifier l’effet de cette modification. Nous pensons que des problèmes similaires aux problèmes décrits dans cet article auront une incidence sur vos applications. Cela est particulièrement vrai pour les applications qui utilisent une plateforme web ou une technologie reposant sur le partage de cookies entre domaines, telles que les applications incorporées à d’autres applications.
Les versions bêta de Chrome 78 et 79 bénéficient d’une amélioration qui retarde l’application de l’attribut SameSite:Laxde deux minutes. Cependant, l’utilisation de ces versions pour les tests peut masquer d’autres problèmes. Par conséquent, nous vous recommandons d’effectuer vos tests à l’aide de la version 80 de Chrome, en activant des indicateurs spécifiques. Cette méthode peut au minimum vous aider à découvrir l’effet et vous permettre de déterminer le plan optimal. Pour plus d’informations, consultez la section « Instructions relatives aux tests ».
Le navigateur Microsoft Edge sur Chromium (version 80) ne sera pas affecté par ces modifications SameSite. Vous pouvez consulter la documentation Edge pour découvrir le plan actuel d’adaptation à cette modification.
Recommandations
Les clients Microsoft qui utilisent les services de fédération Active Directory (AD FS) ou le proxy d’application web doivent déployer l’une des mises à jour Windows Server suivantes :
| Produit | Article de la Base de connaissances | Date de publication |
|---|---|---|
| Windows Server 2019 | KB 4534273 | mardi 14 janvier 2020 |
| Windows Server 2016 | KB 4534271 | mardi 14 janvier 2020 |
| Windows Server 2012 R2 | KB 4534309 | mardi 14 janvier 2020 |
Les produits client ou serveurs Microsoft suivants doivent également être mis à jour. Les mises à jour seront ajoutées à cet article dès lors qu’elles seront disponibles. Nous vous recommandons de consulter régulièrement cet article pour être informé des dernières mises à jour.
| Produit | Article de la Base de connaissances | Date de publication |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | mardi 17 mars 2020 |
| Exchange Server 2016 | KB 4537678 | mardi 17 mars 2020 |
| Project Server 2013 | KB 4484360 | mardi 12 mai 2020 |
| Project Server 2010 | KB 4484388 | mardi 12 mai 2020 |
| SharePoint Foundation 2013 |
KB 4484364 (Mise à jour cumulative : KB 4484358)1 |
mardi 12 mai 2020 |
| SharePoint Foundation 2010 | KB 4484386 | lundi 27 avril 2020 |
| SharePoint Server 2019 | KB 4484259 | mardi 11 février 2020 |
| SharePoint Server 2016 | KB 4484272 | mardi 10 mars 2020 |
| SharePoint Server 2013 | KB 4484362 | mardi 12 mai 2020 |
| SharePoint Server 2010 | KB 4484389 | mardi 12 mai 2020 |
| Skype Entreprise Server 2019 |
KB 4549672 (Mise à jour cumulative : KB 4582629)1 |
Mise à jour cumulative de septembre 2020 (CU 4) |
| Skype Entreprise Server 2015 |
KB 4549672 (Mise à jour cumulative : KB 4558387)1 |
Mise à jour cumulative de mai 2020 (CU 11) |
Remarque
1 Cette mise à jour cumulative contient le correctif du problème de cookie SameSite, ainsi que des correctifs supplémentaires non liés au problème de cookie SameSite. Microsoft vous recommande d’installer la mise à jour cumulative plutôt que la mise à jour individuelle pour vous assurer que votre environnement dispose de tous les correctifs disponibles au moment de la publication de la mise à jour cumulative.
Vous devez tester vos applications pour tous les scénarios suivants et déterminer le plan approprié en fonction du résultat de ces tests :
- Votre application n’est pas affectée par les modifications SameSite. Dans ce cas, il n’y a aucune action à entreprendre.
- Votre application est affectée, mais vos développeurs de logiciels peuvent effectuer la modification à temps pour utiliser les paramètres de cookies SameSite:None. Dans ce cas, vous devez modifier votre application en suivant les conseils destinés aux développeurs dans la section « Instructions relatives aux tests ».
- Votre application est affectée mais ne peut pas être modifiée à temps. Pour les sites internes, l’application peut être exclue du comportement d’application SameSite dans Chrome à l’aide du paramètre LegacySameSiteCookieBehaviorEnabledForDomainList.
Si les clients professionnels découvrent que la plupart de leurs applications sont affectées, ou s’ils manquent de temps pour tester leurs applications avant la publication progressive de la fonctionnalité à compter du 18 février, ils sont invités à désactiver le comportement SameSite sur les ordinateurs qu’ils régissent. Ils peuvent effectuer cette opération à l’aide de la stratégie de groupe, de System Center Configuration Manager ou de Microsoft Intune (ou de tout logiciel de gestion des périphériques mobiles), et ce, jusqu’à ce qu’ils puissent vérifier que le nouveau comportement n’interrompt pas les scénarios de base dans leurs applications.
Google a publié les contrôles d’entreprise suivants, lesquels peuvent être définis pour désactiver le comportement d’application SameSite dans Chrome :
- LegacySameSiteCookieBehaviorEnabled, qui active ou désactive cette modification.
- LegacySameSiteCookieBehaviorEnabledForDomainList, qui permet à Chrome de désactiver cette stratégie sur des domaines spécifiques.
Nous recommandons aux clients professionnels qui développent leurs applications sur .NET Framework de mettre à jour les bibliothèques et de définir intentionnellement le comportement SameSite pour éviter les résultats imprévisibles provoqués par la modification du comportement des cookies. Pour ce faire, reportez-vous aux conseils décrits dans l’article de blog Microsoft ASP.NET suivant :
Modifications à venir des cookies SameSite dans ASP.NET et ASP.NET Core
Consultez également l’article suivant du blog Google Chromium pour obtenir des conseils de développement relatifs à ce problème :
Développeurs : découvrez les nouveaux paramètres de cookies SameSite=None; Secure
Les clients disposant de sites affectés qui ont un impact sur les consommateurs ou les utilisateurs non couverts par leurs stratégies d’entreprise doivent inviter ces utilisateurs à changer de navigateur (Edge, Firefox, Internet Explorer) ou leur indiquer comment désactiver ces paramètres dans Chrome (comme décrit dans la section suivante) le temps qu’ils corrigent leurs applications.
Instructions relatives aux tests
Google a publié ces conseils pour que les développeurs se préparent aux modifications SameSite. De plus, nous vous recommandons de tester vos applications et sites web à l’aide de l’approche suivante.
Utilisez la version bêta de Chrome 80 pour tester les scénarios :
Téléchargez la version bêta de Chrome 80 :
- Pour Windows 64 bits : canal bêta pour Windows (64 bits)
- Pour Windows 32 bits : canal bêta pour Windows (32 bits)
Démarrez Chrome à l’aide de l’indicateur de ligne de commande supplémentaire suivant :
--enable-features=SameSiteDefaultChecksMethodRigorouslyActivez les indicateurs SameSite. Pour ce faire, tapez chrome://flags dans la barre d’adresse, recherchez SameSite, puis sélectionnez Activé pour les options suivantes.
Informations supplémentaires
La communauté web travaille sur une solution qui permettra de résoudre les problèmes liés à l’utilisation abusive des cookies de suivi et à la falsification de requête intersites grâce à une norme connue sous le nom de SameSite.
L’équipe de Chrome avait annoncé son intention de déployer une modification du comportement par défaut de la fonctionnalité SameSite à partir d’une version bêta de Chrome 78 le 18 octobre 2019. Ce déploiement est déplacé vers la version 80 de Chrome, dont la date de publication est le 4 février 2020. Cette modification permet d’améliorer la sécurité web. Cependant, elle interrompt également les flux d’authentification basés sur la norme OpenID Connect. Par conséquent, les modèles d’authentification bien établis ne fonctionneront pas.
Vérification de la version de Chrome
Si vous pensez que vos utilisateurs utilisent la version 76 de Chrome ou une version ultérieure sur laquelle SameSite est activé, vous pouvez vérifier le numéro de version en accédant à chrome://settings/helpou en cliquant sur l’icône des paramètres Chrome, puis en sélectionnant Aide>À propos de Google Chrome.
Pour les versions 77 à 79 de Chrome, accédez à chrome://flagspour vérifier si les indicateurs sont activés. La valeur par défaut du paramètre sera modifiée de façon progressive dans la version 80 de Chrome.
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.
Exclusion de responsabilité sur les coordonnées externes
Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.