Découvrez comment dé­sac­ti­ver Ja­vaS­cript dans les na­vi­ga­teurs courants que sont Mozilla Firefox, Google Chrome et Microsoft Edge et quels sont les risques connus en matière de sécurité pour cette tech­no­lo­gie Web grâce à notre guide étape par étape.

Comment dé­sac­ti­ver Ja­vaS­cript sur un na­vi­ga­teur ?

Tous les na­vi­ga­teurs Web courants offrent la pos­si­bi­lité de dé­sac­ti­ver Ja­vaS­cript en cas de besoin. L’endroit où vous trouverez cette fonc­tion­na­lité dépend du na­vi­ga­teur utilisé. Nous vous ex­pli­quons ci-dessous comment dé­sac­ti­ver Ja­vaS­cript en quelques clics dans les na­vi­ga­teurs Web Mozilla Firefox, Google Chrome et Microsoft Edge.

Dé­sac­ti­ver Ja­vaS­cript dans Firefox

Depuis la version 23 de Mozilla Firefox, l’option per­met­tant de dé­sac­ti­ver Ja­vaS­cript n’est plus dis­po­nible dans les pa­ra­mètres du na­vi­ga­teur. Les uti­li­sa­teurs sou­hai­tant dé­sac­ti­ver Ja­vaS­cript doivent par con­sé­quent passer par l’éditeur de con­fi­gu­ra­tion. Pour ce faire, procédez comme suit :

Étape 1: saisissez about:config dans la barre d’adresse et confirmez en appuyant sur la touche Entrée.

Étape 2: si vous ouvrez l’éditeur de con­fi­gu­ra­tion pour la première fois, Firefox vous avertira avant de vous rediriger vers les pa­ra­mètres cachés du na­vi­ga­teur. Confirmez que vous acceptez le risque et que vous souhaitez continuer.

Image: Avertissement Firefox lors de l’ouverture de l’éditeur de configuration
Aver­tis­se­ment : si vous apportez des mo­di­fi­ca­tions dans l’éditeur de con­fi­gu­ra­tion de Firefox, il se peut que la garantie fabricant du na­vi­ga­teur prenne fin.
Conseil

Si vous ne souhaitez plus recevoir cet aver­tis­se­ment lors de futures con­sul­ta­tions de l’éditeur de con­fi­gu­ra­tion, décochez la case « M’avertir lorsque j’essaie d’accéder à ces pré­fé­rences ».

Étape 3 : saisissez javascript.enabled dans la barre de recherche de l’éditeur de con­fi­gu­ra­tion et confirmez. Firefox filtre alors au­to­ma­ti­que­ment les lignes sou­hai­tées dans les pa­ra­mètres. Sé­lec­tion­nez l’option « Inverser » dans le menu con­tex­tuel pour faire basculer la valeur du paramètre true sur false.

Image: Paramètre Firefox « javascript.enabled »
Les valeurs dans l’éditeur de con­fi­gu­ra­tion de Firefox peuvent être modifiées en appuyant sur « Inverser » ou en double-cliquant sur le paramètre en question.
Note

Pour autoriser à nouveau les scripts ul­té­rieu­re­ment et activer Ja­vaS­cript dans Firefox cliquez à nouveau sur « Inverser » dans l’éditeur de con­fi­gu­ra­tion.

Dé­sac­ti­ver Ja­vaS­cript dans Chrome

Les uti­li­sa­teurs de Google Chrome peuvent gérer les options con­cer­nant l’uti­li­sa­tion de Ja­vaS­cript di­rec­te­ment dans les pa­ra­mètres du na­vi­ga­teur.

Étape 1 : cliquez sur l’icône de menu (trois points) dans le coin supérieur droit de la fenêtre de votre na­vi­ga­teur et cliquez « Pa­ra­mètres » afin d’ouvrir les pa­ra­mètres du na­vi­ga­teur.

Image: Le menu du navigateur Web Chrome
Vous trouverez les pa­ra­mètres du na­vi­ga­teur dans le menu principal.

Étape 2 : sé­lec­tion­nez « Con­fi­den­tia­lité et sécurité » dans le menu latéral gauche, puis appuyez sur « Pa­ra­mètres des sites ».

Image: Google Chrome : paramètres des sites
Cliquez sur « Pa­ra­mètres des sites » dans le menu « Con­fi­den­tia­lité et sécurité ».

Étape 3 : faites défiler l’écran jusqu’à la rubrique « Contenu » puis cliquez sur « Ja­vaS­cript ».

Image: Google Chrome : paramètres de contenu
Vous pouvez trouver l’entrée « Ja­vaS­cript » dans la rubrique « Contenu » de Google Chrome.

Étape 4 : Ja­vaS­cript est au­to­ma­ti­que­ment autorisé dans Chrome. Si vous souhaitez dé­sac­ti­ver Ja­vaS­cript pour tous les sites Web, sé­lec­tion­nez l’option « Ne pas autoriser les sites à utiliser Ja­vaS­cript ». Vous avez également la pos­si­bi­lité, dans les com­por­te­ments per­son­na­li­sés, de dé­sac­ti­ver ou d’autoriser Ja­vaS­cript uni­que­ment pour certains sites Web.

Image: Google Chrome : paramètres JavaScript
Dans les options Ja­vaS­cript de Chrome, vous pouvez notamment gérer des listes noires et blanches pour le paramètre Ja­vaS­cript choisi.
Conseil

Découvrez dans un autre article de notre Digital Guide comment activer Ja­vaS­cript dans Google Chrome.

Dé­sac­ti­ver Ja­vaS­cript dans Microsoft Edge

Microsoft offre également aux uti­li­sa­teurs d’Edge la pos­si­bi­lité d’empêcher l’exécution des scripts côté client. La dé­sac­ti­va­tion s’effectue de la manière suivante via les pa­ra­mètres généraux du na­vi­ga­teur :

Étape 1 : accédez aux options d’Edge en cliquant sur l’icône à trois points et cliquez sur « Pa­ra­mètres ».

Image: Microsoft Edge : bouton Paramètres
Sé­lec­tion­nez « Pa­ra­mètres » dans le menu général du na­vi­ga­teur.

Étape 2 : dans le menu latéral gauche, cliquez sur l’entrée « Cookies et au­to­ri­sa­tions de site » et faites défiler jusqu’à la rubrique « Toutes les au­to­ri­sa­tions ». Vous y trouverez entre autres l’entrée « Ja­vaS­cript », que vous pouvez alors sé­lec­tion­ner.

Image: Entrée du menu JavaScript dans Edge
Dans le menu « Cookies et au­to­ri­sa­tions de site », vous dé­fi­nis­sez un grand nombre d’au­to­ri­sa­tions comme Ja­vaS­cript, la demande de lo­ca­li­sa­tion ou l’accès au mi­cro­phone.

Étape 3 : déplacez le curseur de la ligne « Autorisé (re­com­mandé) » vers la gauche pour dé­sac­ti­ver sys­té­ma­ti­que­ment Ja­vaS­cript dans Edge. Vous pouvez également activer ou dé­sac­ti­ver le langage de script pour des sites Web in­di­vi­duels en créant une entrée cor­res­pon­dante dans la liste noire (« Bloquer ») ou la liste blanche (« Autoriser »).

Image: Edge : désactiver JavaScript
Une fois que vous avez déplacé le curseur vers la gauche, Ja­vaS­cript est désactivé dans Microsoft Edge.
Conseil

Découvrez dans notre article « Activer Ja­vaS­cript sur son na­vi­ga­teur » comment réactiver le langage de script.

Con­sé­quences de la dé­sac­ti­va­tion de Ja­vaS­cript

Avant de dé­sac­ti­ver Ja­vaS­cript dans votre na­vi­ga­teur Web, vous devez être au courant des con­sé­quences. Selon w3techs.com, ce langage de pro­gram­ma­tion de scripts est utilisé par près de 99 % des sites Web. Ces sites s’affichent cor­rec­te­ment uni­que­ment lorsque le na­vi­ga­teur Web est capable de traiter Ja­vaS­cript.

Par ailleurs, tous les sites Web ne proposent pas né­ces­sai­re­ment d’al­ter­na­tives qui fonc­tion­nent sans scripts. Si vous dé­sac­ti­vez Ja­vaS­cript, vous prenez le risque que des contenus im­por­tants des pages cor­res­pon­dantes ne soient pas affichés.

Conseil

Plutôt que de dé­sac­ti­ver Ja­vaS­cript dans votre na­vi­ga­teur, vous pouvez opter pour des ex­ten­sions de na­vi­ga­teur limitant l’exécution des scripts côté client selon des règles définies par l’uti­li­sa­teur. Le leader du marché dans ce domaine est le plugin à code source libre NoScript.

Ja­vaS­cript : aperçu des risques

À l’instar de HTML et CSS, Ja­vaS­cript compte lui aussi parmi les tech­no­lo­gies standards du World Wide Web. La pro­gram­ma­tion côté client est devenue in­con­tour­nable dans le dé­ve­lop­pe­ment Web moderne et est om­ni­pré­sente sur le Net. Les in­ter­nautes doivent toutefois avoir cons­cience des risques liés aux tech­no­lo­gies cor­res­pon­dantes.

Note

À l’exception du nom, Ja­vaS­cript a peu en commun avec Java. Il s’agit de deux langages in­for­ma­tiques distincts mettant à dis­po­si­tion des tech­no­lo­gies per­met­tant l’exécution de codes dans le na­vi­ga­teur côté client. La si­mi­la­rité entre les deux noms est due à des con­si­dé­ra­tions marketing.

En principe, Ja­vaS­cript est un langage in­for­ma­tique avec des au­to­ri­sa­tions très limitées. Ce langage de pro­gram­ma­tion de scripts permet es­sen­tiel­le­ment :

  • d’agir sur la fenêtre de na­vi­ga­teur actuelle via des DOM (Document Object Model) ;
  • d’ouvrir de nouvelles fenêtres de na­vi­ga­teur et de dialogue ;
  • d’animer, afficher et masquer ou modifier la con­cep­tion d’éléments de la page ;
  • de valider des valeurs saisies ;
  • de recharger Ajax ;
  • de trans­mettre à d’autres sites Web des in­for­ma­tions sur les habitudes de lecture et les activités de na­vi­ga­tion de l’uti­li­sa­teur.

Ja­vaS­cript n’a accès qu’aux cookies de l’uti­li­sa­teur et à d’autres mémoires de données réservées aux sites Web, et n’a pas accès au disque dur. Ce langage de pro­gram­ma­tion de scripts ne permet donc ni de consulter des bi­blio­thèques ni de démarrer des pro­grammes sur l’or­di­na­teur. Ceci est garanti par le principe Sandbox, qui limite la sphère d’influence des scripts à la fenêtre du na­vi­ga­teur dans laquelle Ja­vaS­cript est exécuté.

Cependant, une uti­li­sa­tion abusive de Ja­vaS­cript reste possible malgré tout. Ja­vaS­cript permet par exemple :

  • de lire des in­for­ma­tions sur le na­vi­ga­teur ou le système d’ex­ploi­ta­tion d’un in­ter­naute afin d’en­re­gis­trer son com­por­te­ment sur Internet ou d’iden­ti­fier les failles de sécurité (par exemple des plugins obsolètes) ;
  • d’ouvrir de nom­breuses fenêtres pop-up afin de paralyser l’or­di­na­teur de l’in­ter­naute (attaque par déni de service, abrégée en DoS pour Denial of Service) ;
  • de dis­si­mu­ler du code mal­veil­lant ;
  • de simuler des sites Web de four­nis­seurs de confiance dans le cadre d’attaques par ha­me­çon­nage (phishing).

De plus, certaines erreurs de programme ne se pro­dui­sent que pendant l’exécution d’un script sur l’or­di­na­teur de l’uti­li­sa­teur.

Le risque de sécurité à pro­pre­ment parler réside toutefois moins dans le langage de pro­gram­ma­tion de scripts que dans l’in­ter­pré­teur Ja­vaS­cript du na­vi­ga­teur. Une dé­fail­lance de ce dernier entraîne une faille de sécurité qui doit être im­mé­dia­te­ment comblée. C’est la seule façon de veiller à ce que les scripts s’exécutent de façon isolée dans la Sandbox et à ce qu’ils ne puissent pas influer sur d’autres pro­grammes ou sur le système sous-jacent.

Note

Une cy­be­rat­taque au cours de laquelle les hackers ex­ploi­tent les failles de sécurité des ap­pli­ca­tions en four­nis­sant du code mal­veil­lant à des scripts exécutés côté client est appelée cross-site scripting.

Aller au menu principal