Effet sur les sites Web du client et les services et produits Microsoft dans Chrome version 80 ou ultérieure

Notes

Office 365 ProPlus est renommé Applications Microsoft 365 pour les entreprises. Pour plus d’informations sur ce changement, lisez ce billet de blog.

Notes

Précédemment, cet article a référencé Google Chrome Beta version 79. Google est planifié pour libérer un comportement de cookie dans la version 80 du chrome. Chrome a mis à jour sa chronologie de déploiement pour indiquer que cette modification sera déployée dans Chrome 80 à compter de la semaine du 17 février. Chrome 80 sera livré le 4 février et désactivera cette fonctionnalité par défaut. La fonctionnalité sera activée pour une planification graduée en commençant le 17 février.

Résumé

La version stable du navigateur Web Google Chrome (Build 80, planifié pour la publication le 4 février 2020) permettra de modifier le comportement par défaut du cookie à partir de la semaine du 17 février. Bien que la modification soit destinée à décourager le suivi des cookies malveillants et protéger les applications Web, il est également prévu d’affecter un grand nombre d’applications et de services basés sur des normes ouvertes. Cela inclut les services Cloud Microsoft.

Les clients d’entreprise sont encouragés à s’assurer qu’ils sont préparés pour le changement et sont prêts à mettre en œuvre des atténuations en testant leurs applications (qu’elles soient personnalisées ou achetées). Pour plus d’informations, reportez-vous à la section «recommandations».

Microsoft s’engage à résoudre ce changement de comportement dans ses produits et services avant la date de sortie du chrome 80. Cet article décrit les instructions de Microsoft et Google pour l’installation des différentes mises à jour requises pour les produits et les bibliothèques, ainsi que les conseils de test et de préparation. Toutefois, il est également important de tester vos propres applications contre ce changement dans le comportement du chrome et de préparer vos propres sites Web et applications Web, le cas échéant.

Effet sur les applications clientes

Tous les services Cloud de Microsoft sont mis à jour pour être conformes aux nouvelles exigences créées par chrome, mais d’autres applications peuvent toujours être affectées. Consultez la section «recommandations» pour certains produits serveur qui nécessiteront une mise à jour par les clients.

Vous devez tester minutieusement toutes les applications à l’aide de Chrome Beta version 80 pour vérifier l’effet de cette modification. Nous prévoyons que les problèmes similaires à ceux décrits dans cet article affecteront vos applications. Cela est particulièrement vrai pour les applications qui utilisent une plateforme ou une technologie Web qui repose sur le partage de cookies entre domaines, comme des applications incorporées dans d’autres applications.

Les versions bêta 78 et 79 de chrome ont une amélioration qui retarde l’application de l’attribut SameSite : Lax pendant deux minutes. Toutefois, l’utilisation de ces versions pour les tests peut masquer d’autres problèmes. Par conséquent, nous vous recommandons de tester à l’aide de la version 80 de chrome en activant des indicateurs spécifiques. Cette opération peut, au moins, vous aider à découvrir l’effet de manière à pouvoir déterminer votre meilleure offre. Pour plus d’informations, reportez-vous à la section «directives de test».

Le navigateur Microsoft Edge sur chrome (version 80) ne sera pas affecté par ces modifications SameSite. Vous pouvez Lire la documentation sur le serveur Edge pour voir la planification actuelle de l’adaptation de cette modification.

Recommandations

Les clients Microsoft qui utilisent les services ADFS (Active Directory Federation Services) ou le proxy d’application Web doivent déployer l’une des mises à jour suivantes de Windows Server :

Produit Article de la base de connaissances Date de sortie
Windows Server 2019 KB 4534273 14 janvier 2020
Windows Server 2016 KB 4534271 14 janvier 2020
Windows Server 2012 R2 KB 4534309 14 janvier 2020

Les produits Microsoft Server ou client suivants doivent également être mis à jour. Les mises à jour sont ajoutées à cet article quand elles sont disponibles. Nous vous recommandons de consulter régulièrement cet article pour obtenir les dernières mises à jour.

Produit Article de la base de connaissances Date de sortie
Exchange Server 2019 KB 4537677 17 mars 2020
Exchange Server 2016 KB 4537678 17 mars 2020
Project Server 2013 KB 4484360 12 mai 2020
Project Server 2010 KB 4484388 12 mai 2020
SharePoint Foundation 2013 KB 4484364
(Mise à jour cumulative : KB 4484358) 1
12 mai 2020
SharePoint Foundation 2010 KB 4484386 27 avril 2020
SharePoint Server 2019 KB 4484259 Février 11, 2020
SharePoint Server 2016 KB 4484272 10 mars 2020
SharePoint Server 2013 KB 4484362 12 mai 2020
SharePoint Server 2010 KB 4484389 12 mai 2020
Skype Entreprise Server 2019 Mise à jour cumulative 2020 à venir en fin d’été (provisoire)
Skype Entreprise Server 2015 Mise à jour cumulative d’avril 2020 (CU 11)

1 cette mise à jour cumulative contient le correctif pour le problème de cookie SameSite, ainsi que des correctifs supplémentaires non liés au problème de cookie SameSite. Microsoft recommande d’installer la mise à jour cumulative plutôt que la mise à jour individuelle pour vous assurer que votre environnement dispose de tous les correctifs disponibles au moment de la publication de la mise à jour cumulative.

Vous devez tester vos applications pour tous les scénarios suivants et déterminer la planification appropriée en fonction des résultats des tests :

  • Votre application n’est pas affectée par les modifications apportées par SameSite . Dans ce cas, il n’y a aucune action à effectuer.
  • Votre application est affectée, mais vos développeurs de logiciels peuvent effectuer le changement à temps pour utiliser les paramètres de cookies SameSite : None . Dans ce cas, vous devez modifier votre application en suivant les instructions pour les développeurs dans la section «directives de test».
  • Votre application est affectée, mais elle ne peut pas être modifiée dans le temps. Pour les sites internes, l’application peut être exclue du comportement d’application SameSite dans chrome à l’aide du paramètre LegacySameSiteCookieBehaviorEnabledForDomainList .

Si les clients d’entreprise apprennent que la plupart de leurs applications sont affectées, ou si elles n’ont pas suffisamment de temps pour tester leurs applications avant la sortie progressive de la fonctionnalité à compter du 18 février, il est recommandé de désactiver le comportement SameSite dans les ordinateurs qu’ils gouvernent. Pour ce faire, ils peuvent utiliser la stratégie de groupe, System Center Configuration Manager ou Microsoft Intune (ou tout autre logiciel de gestion des appareils mobiles) jusqu’à ce qu’ils puissent vérifier que le nouveau comportement ne rompe pas les scénarios de base dans leurs applications.

Google a publié les contrôles d’entreprise suivants qui peuvent être définis pour désactiver le comportement d’application SameSite dans Chrome :

Pour les clients d’entreprise qui développent leurs applications sur .NET Framework, nous recommandons qu’ils mettent à jour les bibliothèques et configurent intentionnellement le comportement SameSite afin d’éviter des résultats imprévisibles causés par la modification du comportement des cookies. Pour ce faire, reportez-vous à l’article de blog Microsoft ASP.NET suivant :

Modifications apportées aux cookies SameSite dans ASP.NET et ASP.NET Core

Consultez également l’article de blog Google Chrome suivant pour obtenir des conseils pour les développeurs sur ce problème :

Développeurs : Préparez-vous pour la nouvelle SameSite = None ; Sécuriser les paramètres des cookies

Les clients qui ont affecté des sites qui ont un impact sur les consommateurs ou les utilisateurs qui ne sont pas couverts par leurs stratégies d’entreprise doivent demander à ces utilisateurs d’utiliser un autre navigateur (Edge, Firefox, Internet Explorer) ou d’examiner ces utilisateurs tout au long de la procédure de désactivation des paramètres dans Chrome (comme illustré dans la section suivante) lors de la résolution des applications.

Instructions de test

Google a publié ces instructions pour que les développeurs se préparent des modifications apportées à SameSite. De plus, nous vous recommandons de tester vos applications et sites Web à l’aide de l’approche suivante.

Utilisez Chrome bêta version 80 pour tester les scénarios :

  1. Téléchargez chrome bêta version 80 :

  2. Démarrez chrome à l’aide de l’indicateur de ligne de commande supplémentaire suivant :--enable-features=SameSiteDefaultChecksMethodRigorously

  3. Activez les indicateurs SameSite . Pour ce faire, tapez Chrome://flags dans la barre d' adresses , recherchez SameSite, puis sélectionnez activé pour les options suivantes.

Activer les paramètres SameSite

Plus d’informations

La communauté Web travaille sur une solution pour faire face à l’usage abusif des cookies de suivi et de la contrefaçon de demande intersite par le biais d’une norme connue sous le nom de SameSite.

L’équipe de chrome a annoncé des plans de déploiement d' une modification dans le comportement par défaut de la fonctionnalité SameSite à partir d’une version de Chrome version 78 Beta le 18 octobre 2019. Cette mise en œuvre sera déplacée vers la version 80 de chrome le 4 février 2020. Cette modification contribue à améliorer la sécurité Web. Toutefois, il interrompt également les flux d’authentification basés sur la norme de connexion OpenID. Par conséquent, les modèles d’authentification bien établis ne fonctionneront pas.

Vérification de la version chrome

Si vous pensez que vos utilisateurs utilisent une version de chrome 76 ou une version ultérieure dont les SameSite sont activées, vous pouvez vérifier le numéro de version en accédant à chrome://settings/help ou en sélectionnant l’icône Paramètres de chrome, puis en sélectionnant aide > sur Google Chrome.

Vérification de la version chrome dans à propos de Google Chrome

Pour les versions 77 – 79 de chrome, vérifiez Chrome://flags dans le navigateur si les indicateurs sont activés. Le paramètre par défaut commence à changer dans la version 80 du chrome sur une version graduée.

Exclusion d’une information tierce

Les produits tiers abordés dans cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Microsoft fournit des informations de contact tierces pour vous aider à trouver des informations supplémentaires sur ce sujet. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas la précision des informations de contact tierces.