Firefox 74 améliore votre sécurité en ligne

Par Mozinet, . Lien permanent Firefox

À propos de Mozilla Firefox 74 Le gros changement de Firefox 74 dont seuls les effets se feront voir est l’abandon de la prise en charge des protocoles de chiffrement TLS 1.0 et 1.1 qui utilisent des algorithmes cryptographiques faibles pour la navigation sécurisée (https). Les principaux éditeurs de navigateur ont décidé de ne plus prendre en charge ces versions anciennes du protocole publiées respectivement en 1996 et 2006.

MÀJ : Mozilla est revenu sur cette désactivation pour ne pas gêner la diffusion d’informations officielles sur des sites qui n’auraient pas quitté TLS 1.0 ou 1.1.

Nous avons annulé ce changement pour une durée indéterminée afin de permettre un meilleur accès aux sites gouvernementaux essentiels partageant des informations relatives au COVID-19.

Chrome 81 attendu mi-mars et Edge 82 fin avril devraient aussi mettre un terme à la prise en charge de ces protocoles obsolètes.

Firefox ouvrant le bal, il est à craindre qu’il essuie les plâtres et les mécontentements, car il est estimé que 850 000 sites utilisent encore les protocoles TLS 1.0 et 1.1 dont plus de 5 000 figurant au classement Alexa Top 1 Million sites.

Firefox 74 propose néanmoins un bouton vous permettant de passer outre la restriction de version minimum de TLS. Mozilla prévoit de supprimer cette option et de désactiver définitivement les versions TLS 1.0 et 1.1 dans une future version de Firefox.

Échec de connexion sécurisée : SSL_ERROR_UNSUPPORTED_VERSION

Les administrateurs et administratrices doivent s’assurer d’activer TLS 1.2 ou TLS 1.3 sur leur serveur, sinon les utilisateurs et utilisatrices perdront l’accès à leur site. Les internautes sous Firefox risquent donc de rencontrer des pages d’erreur en voulant se connecter à leur site habituel.

La sortie de Chrome et ses 60 à 70 % de parts de marché devraient convaincre les plus réfractaires à suivre un mouvement annoncé en 2018.

Sécurité et vie privée

Comme toutes les versions majeures, Firefox 74 comprend un certain nombre de mises à jour de sécurité que Mozilla juge globalement comme étant de niveau élevé.

Foxface Puzzle Les modules complémentaires installés par des programmes extérieurs peuvent désormais être supprimés dans le gestionnaire de modules complémentaires de Firefox (about:addons). Désormais, seuls les utilisateurs et utilisatrices peuvent installer des modules complémentaires dans Firefox. Les applications et programmes tiers ne le peuvent plus. Cette pratique appelée sideloading n’est plus permise.

Les programmes externes comme les gestionnaires de mots de passe, les logiciels de sécurité, les logiciels malveillants, etc. ne peuvent plus ajouter leur extension dans Firefox en la plaçant dans le dossier du programme ou via le registre. Les modules complémentaires déjà installés sont convertis en une extension installée par l’utilisateur ou l’utilisatrice qui est placée dans le dossier de profil, où il ou elle peut désormais les supprimer. Pour les nouvelles installations, les éditeurs de logiciels doivent distribuer leur extension sur un site web affiché dans Firefox où l’utilisateur ou l’utilisatrice peut agir et cliquer pour l’installer.

Firefox améliore votre vie privée pour les appels audio et vidéo en prenant en charge le protocole mDNS ICE qui camoufle votre adresse IP avec un identifiant aléatoire dans certains scénarios WebRTC.

Mozilla Hacks, le blog des développeurs et développeuses, cite d’autres améliorations de la sécurité.

Contrôle des fonctionnalités sensibles par les dev de la page

La politique des fonctionnalités est activée par défaut. Les requêtes de géolocalisation, de plein écran, de la caméra, du micro, de la capture d’écran depuis des <iframe> d’origine tierce sont désormais désactivées par défaut. Les dev ont désormais le contrôle de l’activation de ces fonctionnalités de la plateforme web. Voir aussi d’autres changements touchant la compatibilité web.

La prise en charge de l’en-tête CORP pour Cross-Origin Resource Policy qui permettent aux sites web et applications d’activer des protections contre certaines requêtes tierces (telles que celles venant d’éléments <script> et <img>). Ces protections peuvent contribuer à atténuer des attaques spéculatives sur les canaux auxiliaires (comme Spectre et Meltdown) ainsi que les attaques par inclusion de scripts intersites.

Exceptions dans Facebook Container

L’extension de Mozilla, Facebook Container, empêche la galaxie des sites de Facebook de vous pister dans tout le Web. Le système de connexion de Facebook, les boutons « J’aime » (likes) et les commentaires sur des sites non Facebook sont automatiquement bloqués. Maintenant quand vous voulez instaurer une exception, vous pouvez en créer une en ajoutant le site dans Facebook Container (en utilisant le bouton de l’extension).

Facebook Container : panneau de bouton Facebook Container : sites autorisés

La page des nouveautés de Firefox 74 ouverte lors de la mise à jour présente Facebook Container et propose de l’installer.

L’extension Firefox Multi-Account Containers de Mozilla qui permet d’en faire plus avec les contextes et d’isoler d’autres sites ou d’avoir plusieurs comptes du même site ouverts en parallèle permet d’afficher le menu des contextes d’une nouvelle manière. En plus d’un clic long sur le bouton + de nouvel onglet, un clic droit sur ce même bouton le fait apparaître.

Depuis début février, il est possible de synchroniser ses containers grâce à la fonction Sync de Firefox.

Syncing Containers is now available

On peut aussi noter au titre de la sécurité l’arrivée dans la version Linux de Firefox (et dans la version macOS en 75) de RLBox qui sécurise les bibliothèques dans Firefox en les mettant en bac à sable (sandboxing) grâce à WebAssembly.

Modifications de l’interface

Ctrl + I pour les informations sur la page

Firefox vient unifier le raccourci clavier pour accéder à la fenêtre d’informations sur la page. Ctrl + I ouvrait sous Windows le panneau latéral des marque-pages (utilisez maintenant Ctrl + B). Désormais sous Windows et Linux, Ctrl + I ouvre les informations sur la page, tandis que sous macOS il faut appuyer sur Commande + I.

Toujours sous Windows, Firefox est désormais attaché à la barre de tâches de Windows 10.

Importation des données d’autres navigateurs

Firefox améliore la prise en charge de l’importation des données utilisateur de navigateurs tiers comme Edge basé sur Chromium (Edgium) sur Windows et macOS, Chrome bêta et les mots de passe des versions 80 et supérieures de Chrome.

Importation des paramètres et des données avec les 2 Edge Assistant d’importation des données avec les 2 versions d’Edge

Mots de passe

Le gestionnaire de mots de passe de Firefox, Lockwise, offre désormais aussi la possibilité de classer les identifiants de Z à A.

Lockwise dans Firefox 74 : Trier par nom (Z-A)

Une entrée des champs de mot de passe permet désormais de générer un mot de passe sûr.

Entrée de menu contextuel : Utiliser un mot de passe généré Utiliser un mot de passe généré de manière sécurisée

Quand une vidéo est chargée avec un lot de photos sur Instagram, le déclencheur du mode d’incrustation vidéo (Picture-in-Picture) de Firefox se trouvait au-dessus du bouton Suivant. Le bouton bleu est désormais déplacé pour vous permettre de passer à la photo suivante de la série.

Une nouvelle préférence (cachée) pour désactiver le détachement pour les afficher dans une nouvelle fenêtre a été ajoutée. Il s’agit de browser.tabs.allowTabDetach.

Des problèmes concernant les onglets épinglés qui pouvaient être perdus ont été corrigés. Vous ne devriez plus les voir se réordonner d’eux-mêmes.

Développement

Les développeurs et développeuses peuvent se reporter à la page de MDN et à l’article du blog Mozilla Hacks, déjà cité, rédigés à leur intention.

Il y a des nouveautés pour la plateforme web et pour les outils de développement de Firefox.

rdm viewport optimized Meilleure simulation des appareils mobiles dans la vue adaptative

Vous pouvez constater qu’avec la réduction de l’intervalle entre les versions (qui sera de 4 semaines avec la prochaine version), le nombre de nouveautés est lui aussi réduit, mais pas ridicule non plus.

Vous voudrez peut-être aussi consulter les notes de version de Firefox 74.

Firefox ESR et Firefox pour Android 68.6 sont aussi sortis en même temps que Firefox 74 pour ordinateur ce mardi 10 mars.

Télécharger Firefox sur le site officiel – choisissez entre toutes les versions, tous les installeurs et toutes les langues disponibles !

Le prochain train de versions passera dans 4 semaines. Vous pouvez tester les différentes versions de Firefox. On vous explique pourquoi c’est important et comment s’y prendre.


Mozinet

Précédente version de Firefox : Firefox 73 avec un zoom global

Les deux nouveautés mises en avant par Mozilla améliorent l’accessibilité des contenus et sont disponibles pour tous et toutes…

Nos captures de Firefox sont disponibles sous licence CC0.

Haut de page