Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Auparavant, cet article a référencé Google Chrome Beta version 79. Google prévoit de publier une fonctionnalité liée aux cookies dans la version stable 80 de Chrome. Chrome a mis à jour sa chronologie de déploiement pour indiquer que cette modification sera déployée dans Chrome 80 à partir de la semaine du 17 février. Chrome 80 est fourni le 4 février et cette fonctionnalité est désactivée par défaut. La fonctionnalité sera activée selon une planification graduée à compter du 17 février.
Résumé
La version stable du navigateur web Google Chrome (build 80, prévue pour la publication le 4 février 2020) déploiera une modification du comportement de cookie par défaut à partir de la semaine du 17 février. Bien que le changement soit destiné à décourager le suivi des cookies malveillants et à protéger les applications web, il est également prévu d’affecter de nombreuses applications et services basés sur des normes ouvertes. Cela inclut les services cloud Microsoft.
Les clients d’entreprise sont encouragés à s’assurer qu’ils sont prêts pour le changement et qu’ils sont prêts à implémenter des atténuations en testant leurs applications (qu’elles soient développées ou achetées sur mesure). Pour plus d’informations, consultez la section « Recommandations ».
Microsoft s’engage à résoudre ce changement de comportement dans ses produits et services avant la date de publication de Chrome 80. Cet article décrit les conseils fournis par Microsoft et Google pour l’installation des différentes mises à jour requises pour les produits et les bibliothèques, ainsi que les conseils pour les tests et la préparation. Toutefois, il est tout aussi important que vous testiez vos propres applications contre ce changement de comportement chrome et préparez vos propres sites web et applications web si nécessaire.
Effet sur les applications clientes
Remarque
Si vous ne pouvez pas passer en revue les autorisations lorsque vous essayez d’activer un bac à sable Microsoft Learn, effacez les données de navigation en accédant à chrome://settings/clearBrowserData.
Tous les services Microsoft Cloud sont mis à jour pour se conformer aux nouvelles exigences établies par Chrome, mais certaines autres applications peuvent toujours être affectées. Consultez la section « Recommandations » pour certains produits serveur qui nécessitent la mise à jour par les clients.
Vous devez tester soigneusement toutes les applications à l’aide de Chrome Beta version 80 pour vérifier l’effet de cette modification. Nous nous attendons à ce que les problèmes similaires aux problèmes décrits par cet article affectent vos applications. Cela est particulièrement vrai pour les applications qui utilisent n’importe quelle plateforme web ou technologie qui s’appuie sur le partage de cookies inter-domaines, comme les applications incorporées dans d’autres applications.
Les versions bêta de Chrome 78 et 79 ont une amélioration qui retarde l’application de l’attribut SameSite:Lax pendant deux minutes. Toutefois, l’utilisation de ces versions pour les tests peut masquer d’autres problèmes. Par conséquent, nous vous recommandons de tester à l’aide de Chrome version 80 en activant des indicateurs spécifiques. Cela peut, au moins, vous aider à découvrir l’effet afin que vous puissiez déterminer votre meilleur plan. Pour plus d’informations, consultez la section « Instructions de test ».
Le navigateur Microsoft Edge sur Chromium (version 80) ne sera pas affecté par ces modifications SameSite. Vous pouvez lire la documentation Edge pour voir le plan actuel d’adaptation de cette modification.
Recommandations
Les clients Microsoft qui utilisent les services de fédération Active Directory (AD FS) ou le proxy d’application web doivent déployer l’une des mises à jour Windows Server suivantes :
| Produit | Article de la base de connaissances | Date de publication |
|---|---|---|
| Windows Server 2019 | Base de connaissances 4534273 | 14 janvier 2020 |
| Windows Server 2016 | Kb 4534271 | 14 janvier 2020 |
| Windows Server 2012 R2 | Kb 4534309 | 14 janvier 2020 |
Les produits serveur ou client Microsoft suivants doivent également être mis à jour. Les mises à jour seront ajoutées à cet article lorsqu’elles sont disponibles. Nous vous recommandons de revoir régulièrement cet article pour les dernières mises à jour.
| Produit | Article de la base de connaissances | Date de publication |
|---|---|---|
| Exchange Server 2019 | Base de Connaissances 4537677 | 17 mars 2020 |
| Exchange Server 2016 | Base de connaissances 4537678 | 17 mars 2020 |
| Project Server 2013 | KB 4484360 | 12 mai 2020 |
| Project Server 2010 | Kb 4484388 | 12 mai 2020 |
| SharePoint Foundation 2013 |
KB 4484364 (Mise à jour cumulative : kb 4484358)1 |
12 mai 2020 |
| SharePoint Foundation 2010 | KB 4484386 | 27 avril 2020 |
| SharePoint Server 2019 | KB 4484259 | 11 février 2020 |
| SharePoint Server 2016 | Base de connaissances 4484272 | 10 mars 2020 |
| SharePoint Server 2013 | BC 4484362 | 12 mai 2020 |
| SharePoint Server 2010 | KB 4484389 | 12 mai 2020 |
| Skype Entreprise Server 2019 |
KB 4549672 (Mise à jour cumulative : kb 4582629)1 |
Mise à jour cumulative de septembre 2020 (CU 4) |
| Skype Entreprise Server 2015 |
KB 4549672 (Mise à jour cumulative : kb 4558387)1 |
Mise à jour cumulative de mai 2020 (CU 11) |
Remarque
1 Cette mise à jour cumulative contient le correctif pour le problème de cookie SameSite, ainsi que des correctifs supplémentaires non liés au problème de cookie SameSite. Microsoft recommande d’installer la mise à jour cumulative plutôt que la mise à jour individuelle pour vous assurer que votre environnement dispose de tous les correctifs disponibles au moment de la publication de la mise à jour cumulative.
Vous devez tester vos applications pour tous les scénarios suivants et déterminer le plan approprié en fonction du résultat des tests :
- Votre application n’est pas affectée par les modifications SameSite. Dans ce cas, il n’y a aucune action à entreprendre.
- Votre application est affectée, mais vos développeurs de logiciels peuvent apporter la modification à temps pour utiliser les paramètres de cookie SameSite :None . Dans ce cas, vous devez modifier votre application en suivant les instructions du développeur dans la section « Instructions de test ».
- Votre application est affectée, mais ne peut pas être modifiée dans le temps. Pour les sites internes, l'application peut être exclue du mécanisme d'application SameSite dans Chrome en utilisant le paramètre LegacySameSiteCookieBehaviorEnabledForDomainList.
Si les clients d’entreprise apprennent que la plupart de leurs applications sont affectées ou s’ils n’ont pas suffisamment de temps pour tester leurs applications avant la publication graduée de la fonctionnalité à partir du 18 février, ils sont encouragés à désactiver le comportement SameSite dans les ordinateurs qu’ils régissent. Ils peuvent le faire à l’aide de la stratégie de groupe, de System Center Configuration Manager ou de Microsoft Intune (ou d’un logiciel de gestion des appareils mobiles) jusqu’à ce qu’ils puissent vérifier que le nouveau comportement n’interrompt pas les scénarios de base dans leurs applications.
Google a publié les contrôles d’entreprise suivants qui peuvent être définis pour désactiver le comportement d’application de SameSite dans Chrome :
- LegacySameSiteCookieBehaviorEnabled, qui active ou désactive cette modification.
- LegacySameSiteCookieBehaviorEnabledForDomainList, qui permet à Chrome de désactiver cette stratégie sur des domaines spécifiques.
Pour les clients d’entreprise qui développent leurs applications sur .NET Framework, nous vous recommandons de mettre à jour les bibliothèques et de définir intentionnellement le comportement SameSite pour éviter les résultats imprévisibles provoqués par la modification du comportement du cookie. Pour ce faire, consultez les instructions de l’article de blog Microsoft ASP.NET suivant :
Modifications à venir des cookies SameSite dans ASP.NET et ASP.NET Core
Consultez également l’article de blog Google Chromium suivant pour obtenir des conseils pour les développeurs sur ce problème :
Développeurs : découvrez les nouveaux paramètres de cookies SameSite=None; Secure
Les clients qui ont affecté des sites qui ont un impact sur les consommateurs ou les utilisateurs qui ne sont pas couverts par leurs stratégies d’entreprise doivent demander à ces utilisateurs d’utiliser un autre navigateur (Edge, Firefox, Internet Explorer) ou de guider ces utilisateurs dans comment désactiver les paramètres dans Chrome (comme indiqué dans la section suivante) pendant qu’ils corrigent leurs applications.
Instructions de test
Google a publié ces conseils pour les développeurs afin de se préparer aux modifications sameSite. En outre, nous vous recommandons de tester vos sites web et applications à l’aide de l’approche suivante.
Utilisez Chrome Beta version 80 pour tester les scénarios :
Téléchargez Chrome Beta version 80 :
- Pour Windows 64 bits : canal bêta pour Windows (64 bits)
- Pour Windows 32 bits : canal bêta pour Windows (32 bits)
Démarrez Chrome à l’aide de l’indicateur de ligne de commande supplémentaire suivant :
--enable-features=SameSiteDefaultChecksMethodRigorouslyActivez les indicateurs SameSite. Pour ce faire, tapez chrome://flags dans la barre d’adresses, recherchez SameSite, puis sélectionnez Activé pour les options suivantes.
Plus d’informations
La communauté web travaille sur une solution pour résoudre l’utilisation abusive de cookies de suivi et de falsification de demande intersite via une norme appelée SameSite.
L’équipe Chrome avait annoncé le déploiement d’un changement dans le comportement par défaut de la fonctionnalité SameSite à partir d’une version bêta de Chrome version 78 le 18 octobre 2019. Ce déploiement sera déplacé vers la version 80 de Chrome le 4 février 2020. Cette modification permet d’améliorer la sécurité web. Toutefois, elle interrompt également les flux d’authentification basés sur la norme OpenID Connect. Par conséquent, les modèles bien établis d’authentification ne fonctionnent pas.
Vérification de la version de Chrome
Si vous pensez que vos utilisateurs utilisent une version Chrome 76 ou une version ultérieure avec SameSite activée, vous pouvez vérifier le numéro de version en accédant ou chrome://settings/help en sélectionnant l’icône des paramètres Chrome, puis en sélectionnant Aide>à propos de Google Chrome.
Pour les versions 77 à 79 de Chrome, accédez à chrome://flags pour voir si les indicateurs sont activés. La valeur par défaut du paramètre commencera à changer dans la version 80 de Chrome de manière progressive.
Exclusion de responsabilité des informations tierces
Les produits tiers abordés par cet article sont fabriqués par des entreprises indépendantes de Microsoft. Microsoft ne donne aucune garantie, implicite ou autre, concernant la performance ou la fiabilité de ces produits.
Exclusion de responsabilité pour contact avec des tiers
Microsoft fournit les informations de contacts tiers pour vous aider à trouver un support technique. Ces informations de contact peuvent changer sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant ces contacts tiers.