Defaults.Exposed › Corrections › En-têtes d'isolation cross-origin (COOP / CORP / COEP)

Comment corriger En-têtes d'isolation cross-origin (COOP / CORP / COEP)

Trois instructions optionnelles du navigateur qui contrôlent la façon dont d'autres sites peuvent interagir avec le vôtre — l'ouvrir dans des fenêtres surgissantes, intégrer ses images et ses scripts, ou tirer ses ressources dans leurs propres pages. C'est un durcissement moderne, pas un indispensable de base, et dans notre notation elles sont informatives : leur absence ne baisse pas votre note. Mais les deux qui sont sûres ferment une faille discrète de hameçonnage et de vol de bande passante, et l'équipe informatique d'un acheteur attentif remarquera leur présence.

En clair, pour votre entreprise : Deux de ces trois en-têtes neutralisent le hameçonnage sophistiqué par fenêtre surgissante et empêchent d'autres sites de pointer directement (hotlinking) vers vos images et vos scripts (ce qui vous coûte de la bande passante et peut laisser fuir des données). Ils sont gratuits, prennent environ 15 minutes à un développeur, et ne cassent rien. Le troisième est avancé et peut casser les analyses, les polices et les intégrations — la plupart des entreprises devraient le laisser désactivé. Aucun n'affecte votre note, alors traitez-les comme du peaufinage, pas une urgence : faites les deux sûrs, sautez le risqué sauf besoin précis.

Ce que cela peut vous coûter

• Un escroc ouvre votre vrai site dans une fenêtre surgissante et en garde le contrôle à distance — redirigeant silencieusement votre client vers une fausse page de connexion dès qu'il regarde ailleurs. L'en-tête sûr (COOP) coupe entièrement ce lien de contrôle.
• D'autres sites intègrent vos photos de produits, logos et scripts directement depuis votre serveur (hotlinking) — vous payez la bande passante chaque fois que leurs visiteurs chargent la page, et vos ressources apparaissent sur des sites que vous n'approuveriez jamais.
• L'équipe de sécurité d'un prospect lance un scan d'en-têtes avant de signer et voit que vous avez ajouté un durcissement cross-origin moderne — signal modeste, mais qui vous range dans la colonne « ils prennent ça au sérieux » plutôt que « strict minimum ».
• Un développeur, voulant être complet, active l'en-tête d'isolation avancé (COEP) sans tester — et casse du jour au lendemain votre Google Analytics, vos polices web et votre widget de réservation intégré. Savoir quel en-tête est sûr et lequel est risqué évite une panne auto-infligée.
• La liste de contrôle d'un auditeur mentionne l'isolation cross-origin ; vous préférez montrer « présent et correct » sur les deux sûrs plutôt que d'expliquer pourquoi il n'y a rien du tout.

Pourquoi c'est important. Ce sont des en-têtes de durcissement du navigateur tournés vers l'avenir. Dans notre méthodologie, les trois sont informatifs — ils sont enregistrés avec zéro point et ne font jamais bouger votre note — car ce sont des contrôles avancés dont un site peut légitimement se passer, et l'un d'eux peut nuire s'il est mal appliqué. Nous en rendons compte pour que vous sachiez où vous en êtes. Les deux sûrs (COOP et CORP) valent vraiment la peine d'être ajoutés : gratuits, rapides, et ils ferment de vraies failles de hameçonnage par fenêtre surgissante et de vol de ressources sans rien casser.

De quoi il s’agit, en clair

Quand quelqu’un visite votre site, son navigateur ne se contente pas de charger vos pages de façon isolée — il décide aussi comment d’autres sites peuvent interagir avec le vôtre. Un autre site peut-il ouvrir le vôtre dans une fenêtre surgissante et le garder sous contrôle ? Un autre site peut-il tendre la main et intégrer vos images et scripts dans ses propres pages ? Votre propre site peut-il utiliser en toute sécurité certaines fonctionnalités de navigateur puissantes et verrouillées ?

Ces trois en-têtes sont de courtes instructions invisibles que votre site envoie au navigateur de chaque visiteur pour répondre exactement à ces questions. On les connaît par leurs initiales :

• COOP — Cross-Origin-Opener-Policy. Contrôle si d’autres sites qui ouvrent le vôtre dans une fenêtre surgissante peuvent en garder le contrôle à distance.
• CORP — Cross-Origin-Resource-Policy. Contrôle si d’autres sites ont le droit d’intégrer vos images, scripts et autres fichiers dans leurs propres pages.
• COEP — Cross-Origin-Embedder-Policy. Un contrôle avancé qui, combiné à COOP, « isole » votre page pour qu’elle puisse utiliser certaines fonctionnalités de navigateur puissantes en toute sécurité.

Deux d’entre eux (COOP et CORP) sont sûrs à ajouter et réellement utiles. Le troisième (COEP) est avancé et peut casser des choses s’il est activé sans précaution.

La chose la plus importante à savoir d’emblée : dans notre notation, les trois sont informatifs. Ils n’affectent pas votre note. Un en-tête manquant ne vous coûte rien. Nous en rendons compte pour que vous sachiez où vous en êtes et puissiez ranger les gains faciles — pas pour que vous paniquiez à propos d’un chiffre.

Ce que cela peut vous coûter

Ce sont des risques de niche, pas des risques de premier plan — mais ils sont réels, et les correctifs sont gratuits.

• Le hameçonnage par fenêtre surgissante qui garde le contrôle à distance de votre vrai site. Sans COOP, la page d’un escroc peut ouvrir votre site réel dans une fenêtre surgissante et conserver une référence vivante vers lui. Pendant que l’attention de votre client est sur la page de l’escroc, l’attaquant peut rediriger cette fenêtre — votre vrai domaine dans la barre d’adresse — vers un faux écran de connexion ou de paiement au moment précis où le client s’y retourne. COOP réglé sur « same-origin » coupe ce lien de contrôle pour que la fenêtre ne puisse pas être manipulée.

• D’autres sites volant votre bande passante (et plaçant vos ressources là où vous ne le voulez pas). Sans CORP, n’importe quel site sur internet peut intégrer vos photos de produits, logos, scripts et autres fichiers directement depuis votre serveur — le « hotlinking ». Chaque visiteur de leur page télécharge le fichier depuis vous, sur votre facture de bande passante, avec votre ressource apparaissant dans un contexte que vous n’avez jamais approuvé. CORP réglé sur « same-origin » empêche les sites extérieurs d’intégrer vos ressources.

• Une voie discrète de fuite de données pour les attaques de navigateur avancées. La même intégration cross-origin qui permet le hotlinking est aussi l’une des voies qu’utilisent les attaques de navigateur sophistiquées par canal auxiliaire (la famille Spectre) pour lire des données qu’elles ne devraient pas. COOP et CORP ensemble ferment cette voie au niveau du navigateur. Pour la plupart des petites entreprises, c’est de la ceinture-et-bretelles, mais c’est gratuit.

• Une panne auto-infligée par le mauvais en-tête. L’avancé, COEP, exige que chaque ressource que charge votre site adhère explicitement. Activez-le sans tester et vos analyses, polices web, cartes intégrées, widgets de réservation et scripts tiers peuvent tous cesser de se charger — car aucun n’a été invité à adhérer. C’est la seule façon dont ces en-têtes peuvent réellement vous nuire, et elle est totalement évitable : n’activez pas COEP sans tester.

• Un signal facile manqué auprès des acheteurs attentifs. Quand l’équipe informatique d’un prospect scanne vos en-têtes avant de signer, trouver un durcissement cross-origin moderne en place est un signal modeste mais réel de « ces gens prennent la sécurité au sérieux ». Cela ne remportera pas une affaire à soi seul — mais c’est gratuit de l’avoir du bon côté du registre.

Ce que chacun est vraiment

COOP — Cross-Origin-Opener-Policy (sûr, recommandé)

Quand un autre site ouvre le vôtre via une fenêtre surgissante ou window.open, les deux fenêtres peuvent normalement garder une référence l’une vers l’autre. Ce lien peut être détourné : l’ouvreur peut manipuler ou rediriger votre fenêtre, lire des fragments de son URL, et monter un hameçonnage convaincant en utilisant votre vrai domaine. COOP : same-origin rompt cette relation — votre fenêtre devient isolée de tout ce qui l’a ouverte depuis une autre origine. La navigation normale, vos liens internes et la navigation ordinaire ne sont absolument pas affectés.

À quoi ressemble une situation « correcte » : Cross-Origin-Opener-Policy: same-origin.

CORP — Cross-Origin-Resource-Policy (sûr, recommandé)

Par défaut, vos images, scripts et autres fichiers peuvent être intégrés par n’importe quel site, n’importe où. CORP : same-origin dit aux navigateurs de refuser l’intégration cross-origin de vos ressources — pour que d’autres sites ne puissent pas pointer directement (hotlink) vers vos ressources ni les tirer dans leurs pages. Votre propre site charge toujours ses ressources exactement comme avant ; seuls les sites extérieurs sont bloqués.

À quoi ressemble une situation « correcte » : Cross-Origin-Resource-Policy: same-origin. (Si vous publiez intentionnellement des ressources destinées à être intégrées par d’autres — un logo public, une API ouverte — votre développeur peut assouplir ce réglage sur ces réponses précises.)

COEP — Cross-Origin-Embedder-Policy (avancé, à laisser désactivé d’ordinaire)

COEP complète l’« isolation cross-origin » : combiné à COOP, il exige que chaque ressource que charge votre page adhère explicitement (via CORS ou CORP). Bien fait, cela débloque certaines fonctionnalités de navigateur puissantes (comme SharedArrayBuffer) et ajoute une couche supplémentaire contre les attaques de type Spectre. Mais comme il exige l’adhésion de tout ce que vous chargez, il casse facilement les outils tiers — analyses, polices, widgets intégrés — qui n’ont pas été conçus pour adhérer. La plupart des sites n’ont pas besoin des fonctionnalités qu’il débloque et ne devraient pas porter le risque de casse.

À quoi ressemble une situation « correcte » : pour le site rare qui en a besoin, Cross-Origin-Embedder-Policy: credentialless — la valeur la plus sûre, moins susceptible de casser les ressources externes que require-corp. Pour tous les autres, l’absence convient, et notre rapport ne vous pénalisera pas pour cela.

Comment corriger (gratuit, ~15 minutes)

Transmettez ceci à votre informaticien ou développeur web — le correctif est gratuit. Ajouter COOP et CORP, ce sont deux réglages d’une ligne sur votre serveur ou votre CDN ; aucune licence et aucun coût récurrent. La seule consigne pour le dirigeant est : faites les deux sûrs, et n’activez pas COEP sans tester.

Ce sont des en-têtes de réponse, à définir là où les réponses de votre site sont produites — le plus facilement au niveau de votre CDN (par exemple Cloudflare) si vous en avez un, sinon dans la configuration de votre serveur web.

Les deux en-têtes sûrs (recommandés pour tous)

Cloudflare — Rules → Transform Rules → Modify Response Headers → Set :

• Cross-Origin-Opener-Policy = same-origin
• Cross-Origin-Resource-Policy = same-origin

Nginx :

add_header Cross-Origin-Opener-Policy   "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;

Apache :

Header always set Cross-Origin-Opener-Policy   "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"

Ils sont sûrs à ajouter et ne casseront pas le fonctionnement normal. Après le déploiement, rechargez quelques pages et confirmez que le site se comporte exactement comme avant (ce devrait être le cas).

L’en-tête avancé (seulement si vous en avez précisément besoin)

Ne l’activez pas sans tester d’abord en préproduction. COEP peut casser les analyses, les polices et les widgets intégrés.

Cloudflare : Transform Rules → définir Cross-Origin-Embedder-Policy = credentialless.

Nginx :

add_header Cross-Origin-Embedder-Policy "credentialless" always;

Utilisez credentialless plutôt que require-corp — il est moins susceptible de casser les ressources externes. Testez soigneusement en préproduction ; surveillez tout script tiers, police ou intégration qui cesse de se charger. Si quelque chose casse et que vous n’avez pas réellement besoin des fonctionnalités que COEP débloque, supprimez simplement l’en-tête — il n’y a aucune pénalité à ne pas l’avoir.

Notes par plateforme

• Google Workspace / Microsoft 365 : ces services gèrent votre messagerie, pas votre site, donc il n’y a rien à régler ici. Ces en-têtes appartiennent à ce qui héberge votre site (votre CDN, hébergeur ou serveur).
• Hébergeurs gérés courants / créateurs de sites (Wix, Squarespace, Shopify, etc.) : les en-têtes de réponse personnalisés peuvent ne pas être configurables sur les formules d’entrée de gamme. Si vous ne pouvez pas les ajouter, ce n’est pas grave — ils sont informatifs et n’affectent pas votre note. Placer votre site derrière un CDN comme Cloudflare est la façon habituelle de gagner le contrôle des en-têtes.
• WordPress sur votre propre hébergement : définissez-les dans la configuration de votre serveur web (Nginx/Apache ci-dessus) ou via votre CDN, plutôt que dans une extension si possible — le niveau serveur/CDN est plus propre et s’applique à chaque réponse.

Erreurs courantes

• Activer COEP « pour être complet » et casser le site. C’est l’erreur majeure. COEP exige l’adhésion de tout ce que vous chargez ; activez-le sans tester et vos analyses, polices et intégrations peuvent disparaître. Si vous n’avez pas besoin des fonctionnalités de navigateur qu’il débloque, ne le réglez pas.
• Les traiter comme urgents parce qu’un scanner les a mentionnés. Ils sont informatifs. Les en-têtes web notés (HTTPS, HSTS, CSP, détournement de clic, reniflage MIME) passent d’abord — corrigez-les avant de dépenser la moindre énergie ici.
• Régler CORP de façon trop stricte alors que vous publiez vraiment des ressources intégrables. Si vous servez délibérément un logo, un badge ou une API destinés à d’autres sites, un CORP same-origin global les bloquera. Assouplissez-le sur ces seules réponses plutôt que d’abandonner l’en-tête partout.
• Ajouter l’en-tête au niveau de la page/application et manquer certaines réponses. Définissez-les au niveau du serveur ou du CDN pour qu’ils s’appliquent à chaque réponse (images, scripts, points d’API), pas seulement aux pages HTML.
• Les confondre avec le cadenas SSL. Le HTTPS chiffre la connexion ; ceux-ci contrôlent l’interaction entre sites. Ils n’ont aucun rapport, et vous voulez les deux.

Une note sur la note

Pour être tout à fait clair : aucun de ces trois contrôles n’affecte votre note. Ils sont enregistrés dans notre méthodologie comme informatifs, avec zéro point, et un absent ne vous coûte jamais rien. Nous les faisons apparaître parce que les deux sûrs sont des améliorations bon marché et réelles, et parce que voir le tableau complet est utile — pas parce qu’il y a un chiffre à défendre. Si vous ne faites rien ici, votre note est exactement la même. Si vous ajoutez COOP et CORP, vous avez fermé gratuitement quelques failles réelles (même si de niche). C’est la bonne manière de voir cette page : du peaufinage optionnel, avec un seul piège clairement étiqueté à éviter.

FAQ