Protéger ses données avec l'isolation de sites

Chrome (à partir de la version 63)

Ces instructions concernent les navigateurs Chrome gérés et les appareils équipés de Chrome OS.

En tant qu'administrateur Chrome, vous pouvez activer l'isolation de sites pour protéger les utilisateurs qui consultent des sites non approuvés dans le navigateur Chrome. 

L'isolation de sites permet de séparer des pages du site Web auquel elles sont rattachées. Lorsque la fonctionnalité est activée, il est plus difficile pour les sites malveillants de contourner les mesures de sécurité qui existent pour empêcher le vol de données. En savoir plus sur l'isolation de sites

Vous pouvez activer l'isolation de sites pour tous les sites consultés par les utilisateurs, ou pour certains d'entre eux uniquement.

Étape 1 : Étudiez le fonctionnement des règles

Règle Description et paramètres
SitePerProcess

Règle activée : activez l'isolation de tous les sites Web dans toute l'organisation. Tous les sites consultés par les utilisateurs s'affichent selon un processus d'affichage dédié qui les isole les uns des autres.

Règle désactivée : le navigateur utilise n'importe quel processus dédié pour afficher les sites.

Règle non définie : les utilisateurs peuvent choisir d'activer ou non l'isolation de sites.

Remarque : L'isolation de tous les sites Web offre le niveau de sécurité le plus élevé, mais consomme environ 10 % de mémoire supplémentaire sur les ordinateurs équipés du navigateur Chrome.

IsolateOrigins

Règle activée : activez l'isolation de sites uniquement pour des sites Web spécifiques consultés par les utilisateurs. Les sites que vous spécifiez s'exécutent selon un processus d'affichage dédié. Vous pouvez inclure des sites auxquels les utilisateurs se connectent, ainsi que d'autres sites contenant des informations sensibles (sites consacrés à la productivité ou intranets, par exemple).

Règle désactivée : le navigateur n'utilise aucun processus dédié pour afficher les sites.

Règle non définie : les utilisateurs peuvent choisir d'activer ou non l'isolation de sites.

Étape 2 : Créez la liste des sites à isoler

Dans Chrome 76 et versions antérieures, créez la liste de tous les sites que vous souhaitez isoler en spécifiant chacun d'eux dans son intégralité. Exemple :
https://a.example.comhttps://b.example.comhttps://c.example.com.

À partir de Chrome 77, vous pouvez également spécifier une plage de sites à isoler à l'aide d'un caractère générique.

Par exemple, https://[*.]example.com isole https://a.example.com, https://b.example.com et https://c.example.com. Cette spécification permet également d'isoler d'autres sites répondant au critère https://[*.]example.com tels que :

  • https://a1.example.com
  • https://a2.a1.example.com
  • https://a3.a2.a1.example.com

Le caractère générique permet d'isoler facilement une plage complète de sites. Par exemple, spécifiez https://[*.]corp.solarmora.com pour isoler tous les sites de l'entreprise Solarmora.

Étape 3 : Activez l'isolation de sites

Cliquez sur les rubriques ci-dessous pour obtenir les instructions qui correspondent à la manière dont vous voulez gérer ces règles.

Console d'administration

S'applique lorsque l'utilisateur se connecte au navigateur Chrome ou à un appareil équipé de Chrome OS avec un compte Google géré.

Cette procédure suppose que vous sachiez définir des paramètres Chrome dans la console d'administration.

  1. Suivez la procédure standard pour définir les paramètres utilisateur de Chrome :
    1. Dans la console d'administration, accédez à Appareils puis Gestion de Google Chrome puis Paramètres des utilisateurs et du navigateur.
    2. Sélectionnez l'organisation contenant les utilisateurs ou les navigateurs inscrits pour lesquels autoriser des applications.

    Important : Assurez-vous que le navigateur Chrome géré est activé au sein de l'organisation.

    Pour plus d'informations, consultez l'article Définir une règle Chrome à appliquer pour plusieurs applications.

  2. Accédez à la section Isolation de sites.
  3. Pour activer la fonctionnalité d'isolation pour tous les sites Web, procédez comme suit :
    1. Sous Règlement concernant l'isolation de sites, sélectionnez Activer la fonctionnalité d'isolation de tous les sites Web (SitePerProcess).
    2. (Facultatif) Indiquez des origines supplémentaires (en les séparant par une virgule) pour que celles-ci soient isolées de leurs sites Web respectifs. Par exemple, saisissez https://login.example.com pour isoler cette page du reste du site https://example.com.
  4. Pour activer la fonctionnalité d'isolation pour des sites Web spécifiques, procédez comme suit :
    1. Sous "Règlement concernant l'isolation de sites", sélectionnez Activer la fonctionnalité d'isolation pour des sites Web spécifiques, définis ci-dessous (IsolateOrigins).
    2. Saisissez la liste des sites Web et des origines de votre choix, en les séparant par une virgule.
  5. Au bas de la page, cliquez sur Enregistrer.
Windows
S'applique aux utilisateursWindows qui se connectent à un compte géré dans le navigateur Chrome.

Utiliser la stratégie de groupe

Dans l'éditeur de stratégies de groupe, accédez à Ordinateur ou à Configuration utilisateur puis Stratégies puis Modèles d'administration puis Google puis Google Chrome pour les deux règles ci-dessous. 

Activer la fonctionnalité d'isolation de tous les sites Web

Si vous conservez l'option Non configuré pour cette règle, c'est le comportement "Règle non définie" décrit plus haut qui s'applique.

  1. Recherchez la règle Activer l'isolation des sites pour tous les sites et activez-la.
    Conseil : Si cette règle n'apparaît pas, téléchargez le dernier modèle de règles.

  2. Testez en local la fonctionnalité d'isolation pour tous les sites Web en utilisant l'indicateur de ligne de commande suivant : 
    - - site-per-process

  3. Déployez la mise à jour sur les appareils des utilisateurs.

Activer la fonctionnalité d'isolation pour des sites Web spécifiques

     Si vous conservez l'option Non configuré pour cette règle, c'est le comportement "Règle non définie" décrit plus haut qui s'applique.

  1. Recherchez la règle Activer l'isolation des sites pour des origines définies et activez-la.

    Conseil : Si cette règle n'apparaît pas, téléchargez le dernier modèle de règles.

  2. Recensez les URL à isoler dans une liste d'éléments séparés par une virgule.
    Exemple : https://example.com/,https://othersite.org/

  3. Testez en local la fonctionnalité d'isolation pour ces sites en utilisant l'indicateur de ligne de commande suivant : 
    - - isolate-origins=https://example.com, https://sous-domaine.example.org
  4. Déployez la mise à jour sur les appareils des utilisateurs.
Mac
Ces instructions s'appliquent aux utilisateurs AppleMac qui sont connectés au navigateur Chrome avec un compte géré.

Dans votre profil de configuration Chrome, ajoutez ou mettez à jour les clés ci-dessous. Appliquez ensuite le changement sur les appareils des utilisateurs.

<dict>
<key>SitePerProcess</key>
  <true/>
</dict>
<dict>
<key>IsolateOrigins</key>
  <string>”https://www.site1.com,https://www.site2.net”</string>
</dict>

 

Linux
Ces instructions s'appliquent aux utilisateurs Linux qui sont connectés au navigateur Chrome avec un compte géré.

Dans l'éditeur de fichiers JSON de votre choix :

  1. Accédez au dossier etc/opt/chrome/policies/managed.
  2. Créez ou mettez à jour un fichier JSON et saisissez les URL concernées :
    • SitePerProcess : définir sur "true" pour activer la règle
    • IsolateOrigins : ajouter les URL à isoler 
  3. Testez en local la fonctionnalité d'isolation pour ces sites en utilisant l'indicateur de ligne de commande suivant : 
    - - isolate-origins=https://example.com, https://sous-domaine.example.org
  4. Déployez la mise à jour sur les appareils des utilisateurs.

L'exemple suivant montre comment activer la règle SitePerProcess :

{
"SitePerProcess": "true"
}


Cet exemple montre comment isoler site1.com et site2.net :  
{
"IsolateOrigins":"https://site1.com/,https://site2.net/"
}

Étape 4 : Vérifiez que l'isolation de sites fonctionne correctement

Pour vérifier que les sites sont bien isolés, procédez comme suit :

  1. Accédez à un site Web comportant des sous-cadres inter-sites :  
    1. Accédez à l'adresse http://csreis.github.io/tests/cross-site-iframe.html.
    2. Cliquez sur le bouton Go cross-site (complex page) (Accéder à l'inter-site, page complexe).
    3. La page principale devrait être sur le site http://csreis.github.io, et le sous-cadre sur le site https://chromium.org.
  2. Ouvrez le gestionnaire de tâches Chrome (menu Chrome puis Plus d'outils puis Gestionnaire de tâches).
  3. Vérifiez que la page principale et le sous-cadre font l'objet de lignes distinctes dans la liste, avec des processus différents.  Exemple :
    • Onglets : creis.github.io/tests/cross-site-iframe.html – ID du processus = 1234
    • Sous-cadre : https://chromium.org – ID du processus = 5678

Si le processus du sous-cadre apparaît dans le gestionnaire de tâches, c'est que l'isolation de sites est bien activée. Si vous isolez des sites Web spécifiques, vous devez inclure l'URL http://csreis.github.io ou https://chromium.org dans la liste des origines.

Désactiver la fonctionnalité d'isolation de sites

Pour désactiver l'isolation de sites, désactivez les règles que vous avez définies précédemment.

Une fois que vous avez désactivé la règle d'isolation, les sites Web sont affichés dans Chrome selon le modèle de processus d'isolation préliminaire. Un processus peut être partagé par différents sites, et les cadres inter-sites peuvent être affichés selon le même processus que celui de leur page parente. Lorsqu'une règle est désactivée, les tests en situation réelle des deux règles le sont aussi.

Problèmes connus

  • Des problèmes mineurs peuvent affecter l'apparence des pages Web et le traitement des événements d'entrée (clics de souris, commandes tactiles ou autres modes d'interaction avec la page, par exemple).
  • Les outils pour les développeurs de Chrome (DevTools) peuvent ne pas être totalement compatibles avec les iFrames inter-sites dans le panneau Performance, ou avec l'émulation d'appareils mobiles.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?