Dernière mise à jour : 1er janvier 2026
Version : 2.0
La Content Security Policy (CSP) est un mécanisme de sécurité avancé qui protège votre navigateur contre les attaques malveillantes courantes sur le web, notamment les injections de scripts (XSS), le détournement de données et les tentatives de phishing.
Ce document technique explique comment MétéosFrance met en œuvre cette politique de sécurité pour protéger votre expérience de navigation et vos données personnelles.
La Content Security Policy (CSP) est une couche de sécurité supplémentaire qui aide à détecter et atténuer certains types d'attaques, notamment :
En définissant une politique stricte sur les sources de contenu autorisées, la CSP limite considérablement la surface d'attaque potentielle et protège l'intégrité de notre site web.
MétéosFrance applique une politique de sécurité du contenu stricte mais équilibrée pour garantir à la fois la sécurité maximale et une expérience utilisateur optimale. Voici notre configuration actuelle :
Chaque directive CSP contrôle un type spécifique de ressource que votre navigateur peut charger. Voici ce que chacune signifie pour votre sécurité :
Objectif : Politique par défaut pour toutes les ressources
Configuration :
Signification : Par défaut, seules les ressources provenant de notre propre domaine (meteosfrance.fr) sont autorisées. Cela empêche le chargement de contenu depuis des sources externes non autorisées.
Objectif : Contrôle les scripts JavaScript exécutables
Configuration :
Sources autorisées :
Protection : Empêche l'exécution de scripts provenant de sources malveillantes ou non autorisées.
Objectif : Contrôle les feuilles de style CSS
Configuration :
Sources autorisées :
Objectif : Contrôle les polices web
Configuration :
Protection : N'autorise les polices que depuis notre domaine et Google Fonts, empêchant l'injection de polices malveillantes qui pourraient contenir du code.
Objectif : Contrôle le chargement des images
Configuration :
Sources autorisées :
Objectif : Contrôle les connexions réseau (AJAX, WebSocket)
Configuration :
Sources autorisées :
Protection : Empêche les requêtes vers des serveurs malveillants qui pourraient exfiltrer vos données.
Objectif : Protection contre le clickjacking
Configuration :
Protection : Interdit complètement l'intégration de notre site dans des iframes sur d'autres domaines, empêchant les attaques de clickjacking où un attaquant pourrait superposer des éléments invisibles sur nos pages.
Objectif : Contrôle l'élément HTML <base>
Configuration :
Protection : Empêche les attaquants de modifier l'URL de base du document, ce qui pourrait rediriger les liens relatifs vers des sites malveillants.
Objectif : Contrôle la destination des formulaires
Configuration :
Protection : Les formulaires ne peuvent être soumis qu'à notre propre domaine, empêchant les attaquants de rediriger vos données vers des serveurs tiers.
Vous avez peut-être remarqué la directive 'unsafe-inline' dans certaines sections de notre CSP. Nous tenons à être totalement transparents sur ce choix :
Pourquoi nous l'utilisons :
Comment nous atténuons les risques :
La sécurité n'est jamais un état final, c'est un processus continu. Voici comment nous améliorons constamment notre CSP :
Nous utilisons la directive report-uri pour surveiller les violations de notre politique CSP :
Ces rapports nous permettent de :
Respect de la vie privée : Ces rapports de violation ne contiennent aucune information personnelle identifiable. Ils incluent uniquement des informations techniques sur les ressources bloquées.
En tant qu'utilisateur technique ou curieux, vous pouvez vérifier notre politique CSP de plusieurs façons :
1. Ouvrez les outils de développement de votre navigateur (F12)
2. Allez dans l'onglet "Console"
3. Rechargez la page
4. Recherchez les en-têtes "Content-Security-Policy" dans l'onglet "Réseau"
Plusieurs services gratuits permettent d'auditer notre CSP :
Si vous rencontrez un problème de chargement de contenu sur notre site à cause de notre CSP :
La CSP n'est qu'une partie de notre architecture de sécurité. Nous mettons également en œuvre :
| Mécanisme | Description | Protection |
|---|---|---|
| HTTPS | Chiffrement TLS 1.3 | Confidentialité des données en transit |
| HSTS | HTTP Strict Transport Security | Force l'utilisation de HTTPS |
| X-Content-Type-Options | nosniff | Empêche le MIME-sniffing |
| X-Frame-Options | DENY | Protection contre le clickjacking |
| Referrer-Policy | strict-origin-when-cross-origin | Contrôle des informations de référence |
| Permissions-Policy | Contrôle des fonctionnalités du navigateur | Minimise la surface d'attaque |
La sécurité de nos utilisateurs est notre priorité absolue. Si vous découvrez une vulnérabilité de sécurité sur notre site :
Nous encourageons la divulgation responsable des vulnérabilités de sécurité. Si vous trouvez une faille :
Notre engagement :
Pour en savoir plus sur la Content Security Policy et la sécurité web :
| Date | Version | Modifications |
|---|---|---|
| 01/01/2026 | 2.0 | Renforcement de frame-ancestors, ajout de base-uri et form-action |
| 15/09/2025 | 1.5 | Ajout de CSP Reporting, restriction de connect-src |
| 01/06/2025 | 1.0 | Première implémentation de la CSP |
Pour toute question concernant notre politique de sécurité du contenu :
Équipe Sécurité :
🔒 Email : security@meteosfrance.fr
🐛 Signalement de bugs : bugs@meteosfrance.fr
📧 Contact général : contact@meteosfrance.fr
Nous nous engageons à répondre à toutes les questions de sécurité dans les 48 heures.
La sécurité de votre navigation sur MétéosFrance n'est pas négociable. Nous investissons continuellement dans les meilleures pratiques de sécurité, les audits réguliers et l'amélioration de nos politiques de protection.
Notre Content Security Policy est revue et mise à jour régulièrement pour s'adapter aux nouvelles menaces et aux évolutions des standards de sécurité web.
Merci de votre confiance. Votre sécurité est notre priorité. 🔐