HTTPS, la version sécurisée du protocole HTTP, est depuis longtemps un des éléments de base du Web moderne. Il crée des connexions sécurisées en fournissant de l’authentification et du chiffrement entre le navigateur et le serveur web. HTTPS vous protège contre les écoutes et la falsification de vos communications, que ce soit lorsque vous consultez le site de votre banque ou lorsque vous discutez avec des amis. C’est essentiel, car, à travers une connexion HTTP classique, quelqu’un d’autre présent sur votre réseau peut lire ou modifier le site internet que vous consultez, vous mettant en danger.Changements de l’expérience sécurité des utilisateurs de Firefox
Jusqu’à maintenant, Firefox affichait un cadenas vert dans la barre d’adresse pour indiquer qu’un site web utilisait HTTPS et un indicateur neutre (sans icône de cadenas) quand ce n’était pas le cas. Le cadenas vert indique un site qui utilise une connexion sécurisée.
Connexion sécurisée (HTTPS) actuelle
Connexion non sécurisée (HTTP) actuelle
Afin de bien attirer l’attention des utilisateurs sur le risque qu’ils courent, à partir de ce mois dans Firefox 51, les pages web qui demandent un mot de passe mais qui n’utilisent pas HTTPS afficheront un cadenas gris barré de rouge dans la barre d’adresse.
Cliquer sur l’icône « i » affichera les messages « Connexion non sécurisée » et « Les identifiants saisis sur cette page pourraient être compromis ».
Nous avons testé cette expérience utilisateur avec Firefox sur le canal Developer Edition à partir de janvier 2016. Depuis, le pourcentage de formulaires d’identification détectés par Firefox et qui sont pleinement sécurisés par HTTPS est passé de 40 % à presque 70 %. Quant au nombre total de pages HTTPS, il a également augmenté de 10 %, comme vous pouvez le voir sur le graphique ci-dessus.
Dans ses versions à venir, Firefox affichera un message d’avertissement directement dans la liste déroulante lorsqu’un utilisateur cliquera sur un champ de saisie de nom d’utilisateur ou mot de passe d’une page qui n’utiliserait pas HTTPS. Ce message affichera la même icône de cadenas gris barré de rouge, avec des messages similaires : « Cette connexion n’est pas sûre. Les identifiants saisis sur cette page pourraient être compromis ».
Alerte dans un champ de mot de passe sur une page qui n’utilise pas HTTPS
Ce que nous allons faire à l’avenir
Pour continuer à promouvoir l’utilisation de HTTPS et prévenir les utilisateurs des risques, Firefox va finalement afficher le cadenas barré de rouge sur toutes les pages qui n’utilisent pas HTTPS, afin de bien montrer qu’elles ne sont pas sécurisées. Nous allons continuer de publier des nouvelles en fonction de l’évolution de nos plans, mais notre espoir est d’encourager tous les développeurs à prendre les mesures nécessaires pour protéger les utilisateurs du Web grâce à HTTPS.
Pour plus d’informations techniques au sujet de cette nouveauté, veuillez vous référer au billet de blog de l’année dernière. Si vous voulez tester ces changements avant qu’ils n’arrivent dans Firefox, nous vous invitons à installer la dernière version de Firefox Nightly.
Remerciements
Merci à l’ingénierie, l’expérience utilisateur, la recherche utilisateur, l’assurance qualité et aux équipes produit qui m’ont aidé – Sean Lee, Tim Guan-tin Chien, Paolo Amadini, Johann Hofmann, Jonathan Kingston, Dale Harvey, Ryan Feeley, Philipp Sackl, Tyler Downer, Adrian Florinescu et Richard Barnes. Et un remerciement très spécial à Matthew Noorenberghe sans qui ceci n’aurait pas été possible.
Traduction et relecture : Thegennok, Goofy, Théo, Julien “Sphinx”, Mozinet, Hellosct1 et anonymes
Les captures ont été localisées par le traducteur.
Notre précédent billet : Plus sûr·e avec Firefox, de Panagiotis Astithas (Mozilla)
1 De freetux -
L’ajout d’une telle fonctionnalité ne peut qu’avoir un effet positif pour une amélioration de la sécurité des connexion en ligne, celle-ci est donc la bienvenue sur Firefox ; donc merci. :-)
Cependant, le plus gros problème de sécurité selon moi réside dans le HTTPS et dans son système de validation/acceptation par les navigateurs. En effet, certains sites Web arborent un magnifique cadenas vert avec une autorité reconnue, mais qui derrière ont leurs protocoles et certificats complétements pourris : RC4 (bien qu’il soit désormais bloqué il me semble), chiffrement faible, SSL2, etc.
Personnellement, je trouve qu’un code couleur sur le cadenas du SSL pour informer sur la qualité du certificat ou des protocoles bien plus pertinente pour la sensibilisation des personnes qu’un cadenas rouge sur le HTTP. Un peu comme à la manière de l’addon Calomel SSL validation.
À titre d’exemple, le site https://www.internet-signalement.gouv.fr (je n’avais que lui sous la main rapidement ^^) obtient la note de F (une des plus mauvaise) sur ssllabs.com alors qu’une personne ayant la note maximale sur les protocoles et certificats mais ayant une autorité non reconnue par le navigateur sera redirigé sur une page d’alerte du navigateur disant que la connexion est risquée.
Je trouve le jugement du navigateur bien binaire. :-(
En bref, le danger le plus important n’est pas que le flux ne soit pas chiffré (on peut s’adapter en fonction), mais qu’on pense que l’information est sécurisée alors qu’en réalité elle peut être compromise.
2 De Papyrus -
Bonjour,
Je trouve cette évolution d’avantage une soumission aux lobbying des émetteurs de certificats qui vont pouvoir ainsi augmenter leur chiffre d’affaire qu’une réelle progression.
Le risque que quelqu’un écoute le réseau et lise dans les trames réseau un mot de passe en clair est d’une part extrêmement faible, et d’autre part nécessite des compétences certaines qui font que le pirate se moquera certainement d’obtenir le mot de passe d’accès à un forum ou un site de ce genre.
Par contre, le fait qu’il suffise d’appuyer sur un bouton dans Firefox pour voir apparaître tous les mots de passe enregistrés représente lui un vrai risque de sécurité, car c’est évidemment le premier endroit où un hacker ira chercher les mots de passe.
Firefox ferait mieux de mettre un message “Ce navigateur n’est pas sécurisé. Cliquer ici pour plus d’informations” lorsque l’utilisateur ne protège pas ses mots de passe par un mot de passe principal.
3 De Choppy -
Gageons que ce message d’erreur augmentera le nombre de téléchargements de chrome et une diminution significative des téléchargements de firefox.
C’est plus un problème qu’une solution à la sécurité : on n’a plus d’autocomplétion sur les identifiants et cela gêne à la connexion. Bravo.
4 De Mozinet -
@Choppy : l’autocomplétion n’a pas changé. Seule à été rajoutée dans la dernière version un message d’alerte directement dans le champ avec le focus pour les pages HTTP.
5 De Jul -
@Mozinet : Je vous assure que l’autocomplétion a changé. Auparavant, si un seul login existait pour un site, celui-ci était directement affecté au champs de saisie, ce qui n’est plus le cas. Et pire que tout, le message masque le champ du dessous lors de la saisie.
Il est effarant de constater comment des développeurs peuvent casser l’expérience utilisateur et donc effectivement détourner ces mêmes utilisateurs vers un autre logiciel. Savez-vous s’il est au moins possible de désactiver cette fonction très ennuyeuse ?
6 De AleX -
Je suis parfaitement d’accord avec Choppy et Jul, FF avec sa politique de sécurité stricte Mozilla se tire une balle dans le pied. FF n’a pas de besoin de concurrence, il se sabord lui même tout seul.
Suite aux soucis liés a la version 52, réponse du DSI => passer sous Chrome ou Edge.
Bravo les gars !
7 De Philo -
le système de certificat ne marche pas, trop compliqué, impossible de générer soit même son certificat sans messages d’erreur, même pour les applis insignifiantes !
Heureusement le bug/abus de firefox est désactivable dans about:config : recherche ‘security.insecure’ security.insecure_field_warning.contextual.enabled à mettre à false même chose pour password
Bonne journée
8 De david96 -
Bonsoir,
J’ai vraiment beaucoup de mal avec ce côté tout sécuritaire et de bienveillance, qui inquiète à défaut et donc peut compromettre de fait un site de bon aloi…
Plus grave, ça va faire beaucoup de dégâts envers une majorité de sites fait par des amateurs ou auto-entrepreneurs… Lamentable ! Quand je pense que j’ai promotionné Firefox pendant une décennie, je suis très déçu.
PS : je reste sur Firefox, grâce à ces nombreux contributeurs pour les modules, mais je pense sincèrement lorgner vers Chrome (version libre) qui avance beaucoup en ce sens.
David.
9 De ringos -
Bonsoir, je développe des sites Intranet. Le risque d’interception des identifiants est donc nul. Cette nouvelle mesure de sécurité est très agaçante. Une raison suffisante pour moi de passer à Chrome. Dommage, j’ai toujours été fidèle à Firefox :-$
10 De Mme Truffer -
j’ai ne peux pas me connecter dans mon jeu Firefox me donne (500 error ) je ne sais pas pourquoi s,il vous plait règler ce probleme merci
11 De Hellosct1 -
Vous avez du attraper un virus ou malwaire. Pour nettoyer, mettez a jour votte antivirus et antimalware comme adwcleaner, roguekiller
12 De hypocampe400 -
pourrai je savoir pourquoi flash player ne fonctionne pas pour le jeu let’s fish facebook
13 De hellosct1 -
Bonjour
Quand vous chargez la page, en haut de l’écran, il y a un bandeau qui doit apparaître qu’il faut accepter car par défaut Flash est désactivé.
Cordialement
14 De bobo -
C’est bien d’avertir les utilisateurs, mais cette fenêtre d’avertissement apparaît sur le bouton à cliquer pour se logger, ce qui fait que si on se trouve sur un site sûr mais que l’avertissement apparaît quand même, il faut ruser pour réussir à cliquer ! Laissez nous un peu de liberté et faites apparaître cet avertissement à un autre endroit ou faites le disparaître après un certain temps.
15 De letroll -
sécurité, oui. Paranoïa NON ! Firefox est le seul navigateur avec lequel je ne suis pas arrivé à faire fonctionner le pluggin que ma banque installe pour lui envoyer une copie de ma carte d’identité ! Avec chrome, tout s’est installé en un temps record. Effectivement, firefox se tire une balle dans le pied !
16 De Fady005 -
Hello, contrairement à ce que beaucoup dise, Firefox se rapproche de plus en plus de Chrome (les extensions sont facilement transposables) avec l’option de sécurité en plus. Pour ce qui du thème principal, j’aurais simplement désactiver par défaut cette alerte pour les sites intranet mais c’est déjà bien qu’on puisse la désactiver tout court. À plus !