Activer le blocage du contenu non sécurisé dans Microsoft Edge (Chromium)

TL;DR

Activez la fonction de blocage du contenu non sécurisé dans la version Canary de Microsoft Edge pour forcer les pages à ne charger que du contenu HTTPS. Cet article explique comment activer l’option via les flags, la configurer par site, vérifier l’effet et donne des alternatives et listes de contrôle pour utilisateurs et administrateurs.

Le navigateur Edge basé sur Chromium, annoncé par Microsoft en 2018, progresse encore vers sa version finale. Microsoft a récemment publié une release candidate et, dans la version Canary la plus récente, a ajouté une fonctionnalité de blocage du contenu non sécurisé.

Le blocage du contenu non sécurisé est essentiellement une permission de site. Une fois activée, Edge empêche le chargement de contenus potentiellement non sécurisés présents sur les pages web. Concrètement, cela limite les ressources chargées aux éléments servis via HTTPS et réduit le risque que des éléments mixtes affaiblissent la sécurité d’une page.

Important : la fonctionnalité est disponible dans la version Canary d’Edge uniquement. Canary est une chaîne de développement instable destinée aux tests.

Qu’est-ce que signifie « contenu non sécurisé » ?

Contenu non sécurisé (mixed/insecure content) : ressources (images, scripts, iframes) chargées via HTTP sur une page servie en HTTPS. Ces ressources peuvent compromettre la sécurité de la page même si l’URL principale est en HTTPS.

Pré-requis

• Windows 10 (ou autre OS pris en charge) avec la version Canary d’Edge installée.
• Accès à la page des flags du navigateur.

Vous pouvez obtenir la version Canary en cliquant sur le bouton Traduction locale : « Télécharger » pour le canal Canary sur la page des canaux MS Edge Insider.

Étapes pour activer le blocage du contenu non sécurisé dans Edge

1. Ouvrez Edge et saisissez edge://flags dans la barre d’adresse, puis appuyez sur la touche Entrée.
2. Dans l’onglet des flags, recherchez le réglage nommé “Blockable mixed content switch as site” (option parfois affichée en interface localisée comme « Commutateur du contenu mixte bloquable par site »).
3. Pour ce réglage, sélectionnez l’option Enabled (Activé).
4. Redémarrez Edge pour appliquer la modification.

Après le redémarrage, le blocage du contenu non sécurisé sera actif par défaut selon la manière dont le flag est implémenté.

Configuration par site (autoriser/bloquer manuellement)

Pour régler le comportement au cas par cas :

1. Cliquez sur l’icône de cadenas à gauche de la barre d’adresse.
2. Sélectionnez Autorisations du site (Site permissions).
3. Recherchez l’option liée au contenu non sécurisé (Insecure content) et choisissez l’action souhaitée pour le site ouvert (Bloquer / Autoriser).

Comment vérifier que le blocage fonctionne (mini-méthodologie)

• Chargez une page qui contient volontairement du contenu mixte (test local ou page de test). Si le contenu HTTP est bloqué, les éléments dangereux (scripts/iframes) ne s’afficheront pas.
• Ouvrez la console développeur (F12) et regardez les avertissements liés au contenu mixte.
• Vérifiez les icônes de verrouillage dans la barre d’adresse : un cadenas barré ou une alerte peut indiquer des éléments bloqués.

Alternatives et approches complémentaires

• Utiliser des extensions de sécurité qui forcent HTTPS (par ex. HTTPS Everywhere) si la version Canary ou le flag ne conviennent pas.
• Configurer des entêtes serveur (Content-Security-Policy) pour empêcher le chargement de ressources non sécurisées côté serveur.
• Pour les environnements gérés, appliquer des stratégies de groupe ou des politiques Microsoft Endpoint pour restreindre les paramètres du navigateur.

Quand cette méthode peut échouer (contre-exemples)

• Sites qui embarquent des ressources HTTP critiques sans alternative HTTPS : le blocage peut casser la fonctionnalité de la page.
• Si le flag change ou est supprimé dans une mise à jour Canary, l’option peut disparaître.
• Dans des builds localisées d’Edge, l’intitulé du réglage peut être traduit, rendant la recherche moins directe.

Liste de contrôle par rôle

• Utilisateur final :
  • Installer Edge Canary si vous testez la fonctionnalité.
  • Activer le flag et tester les sites importants.
  • Signaler les sites cassés aux webmasters.
• Administrateur IT :
  • Tester l’impact sur les applications internes avant déploiement.
  • Documenter les exceptions par site via la politique d’entreprise.
  • Prévoir un rollback si des services critiques sont affectés.
• Développeur web :
  • Migrer toutes les ressources vers HTTPS.
  • Utiliser des URLs relatives ou protocol-less uniquement si sûres.
  • Tester les pages en mode HTTPS strict.

Points de compatibilité et calendrier

Microsoft prévoyait de lancer la version Chromium d’Edge au début de 2020 ; une date de sortie annoncée était le 15 janvier 2020. Par la suite, Chromium Edge devait être intégré à la mise à jour nommée 20H1 distribuée au printemps 2020. Ces dates sont historiques : la fonctionnalité dont il est question ici est apparue d’abord dans la chaîne Canary.

1‑ligne glossaire

• Canary : canal de développement d’un navigateur, très instable, pour tests précoces.
• Contenu mixte : éléments HTTP chargés sur une page HTTPS.

Résumé et recommandations

• Activez la fonction dans Edge Canary via edge://flags pour bloquer le contenu non sécurisé.
• Configurez des exceptions par site si nécessaire depuis les autorisations du site (icône cadenas).
• Pour un déploiement large, testez l’impact sur les applications internes et préparez des règles d’exception.

Notes : cette fonctionnalité améliore la sécurité côté client, mais la correction définitive est côté serveur : migrer toutes les ressources vers HTTPS.

Sources et guides associés

• How to enable Clear Browsing Data on Exit in Chromium Edge
• Follow these steps to change Chromium Edge themes manually
• How to use Picture in Picture mode in Chromium Edge

Fin

Important : ne changez pas les flags dans des environnements de production sans tests préalables. Les flags sont des fonctionnalités expérimentales qui peuvent être instables ou modifiées sans préavis.