Passer au contenu

Firefox mise tout sur la sécurité, quitte à prendre des risques

Mozilla a annoncé que son navigateur Firefox bloquera désormais toute nouvelle fonctionnalité Web qui n’utiliserait pas le protocole HTTPS. Une nouvelle contrainte pour les programmeurs. Un risque mesuré pour Firefox. Tout cela rien que pour nos yeux.

2018 sera l’An I du tout sécurité pour Firefox. En fin d’année dernière, le navigateur libre terminait une part importante de sa mue en complétant une révolution technologique avec Quantum. Il y a quelques jours, comme une nouvelle étape dans une course initiée avec le projet Let’s Encrypt, Mozilla annonçait la mise en place de sa politique de « secure context » ou contexte sûr. Il s’agit en fait d’un ensemble d’éléments qui permettent d’être confiant dans le fait que les contenus fournis l’ont été par une voie sécurisée (HTTPS/TLS) et que les communications nécessaires non sécurisées sont les plus réduites possibles.

Rendre obsolète le Web non sécurisé

En d’autres termes, tout ce qui passe par Firefox et qui doit accéder au Net doit le faire au travers d’une connexion HTTPS, qu’il s’agisse de fonctions ou d’API Web. En voulant rendre obsolète le HTTP non sécurisé, cette décision implique qu’un nombre relativement important de fonctions avancées du Web pourraient ne plus fonctionner avec le navigateur si elles ne sont pas jugées sûres. C’est le cas des API de notifications Web ou requêtes de paiement, par exemple, ou encore de l’implémentation de DRM (EME) ou même des accès aux micro et Webcam depuis une appli Web. En définitive c’est tout ce qui est « exposé sur le Web » via des Javascript, des CSS ou des formats média, qui est potentiellement concerné. Il peut s’agir aussi bien d’une feuille de style CSS, que d’un nouveau header HTTP ou même d’une fonction WebVR. A noter que l’API Bluetooth est également concernée et que, même sécurisée, elle n’en reste pas moins assez intrusive et potentiellement dangereuse.

Précautions et tendance de fond

Si le HTTPS tend de plus en plus à être la norme en ligne, de nombreux sites n’ont pas encore totalement franchi ce cap. Par exemple, certains sites conservent encore leurs images sur un serveur « non chiffré ». Il y a donc fort à parier que les administrateurs et développeurs de sites Web vont avoir un peu de pain sur la planche. Pour les aider, Mozilla va d’ailleurs mettre à leur disposition de nouveaux outils pour leur permettre de tester leurs sites sans forcément déployer un serveur HTTPS.

C’est en tout cas un risque qui est pris. Car si Firefox n’affiche plus certains sites, ses utilisateurs pourraient très bien décider de changer de navigateur.

Néanmoins, comme Mozilla le relevait en avril 2015 à propos de l’abandon – déjà – du HTTP non sécurisé : « supprimer des fonctions du Web non sécurisé aboutira probablement à ce que des sites ne fonctionnent plus. Nous devrons donc surveiller ces pannes et trouver l’équilibre avec le bénéfice en sécurité ». Il est évident que les équipes de Firefox veilleront à prendre certaines précautions.

Pour autant, Mozilla a constaté qu’en l’espace de trois ans, un long chemin a déjà été parcouru. La fondation constatait dans une réponse par mail à quelques questions sur ce sujet qu’il y a désormais « une bonne dynamique et suffisamment d’infrastructures en place aujourd’hui pour que [cette bascule] soit faisable. » Ainsi, au 22 janvier 2018, selon Let’s Encrypt, plus de 68% des pages chargées dans Firefox l’étaient en utilisant une connexion sécurisée. Une progression de près de 20% par rapport à la même période l’année précédente.

Mozilla – Pourcentage de pages chargées via une connexion HTTPS dans Firefox.

En définitive, pour les équipes de Firefox le « risque principal est que les autres navigateurs ne partagent pas [les mêmes] objectifs » ou qu’ils donnent la priorité à d’autres éléments. Sur ce point toutefois, les risques paraissent assez limités. Microsoft ne paraît certes pas suivre cette approche avec Edge. En revanche, Google semble suivre une voie assez proche avec Chrome. C’est là l’essentiel.

Par ailleurs, le navigateur libre s’est ménagé quelques soupapes de sécurité, en mettant en place « une étude au cas par cas » pour les fonctions déjà disponibles et en autorisant certaines exceptions, notamment si les autres navigateurs embarquent déjà une fonction non sécurisée. Un moyen de ne pas perdre du terrain ou un avantage sur la concurrence. Ce que Mozilla avançait en termes clairs : « Nous nous réservons l’option pour l’instant de lancer une fonctionnalité dans un contexte non-sécurisé si la pression du marché exige que nous le fassions ».

Le résultat sera évidemment un bond en avant dans la sécurité des internautes. Plus de discrétion sur les contenus consultés, plus de sécurité en évitant par exemple les possibilités d’attaque « de l’homme du milieu ». Le grand public peut se réjouir. Les développeurs et administrateurs de sites Web risquent, eux, de devoir revoir certains pans de leur travail. Mais en définitive, si la position de Firefox semble intransigeante, elle colle à un effort sur le long terme. Mieux, elle précède certainement les positions officielles du W3C sur la question. Le futur du Web sera plus sécurisé ou ne sera pas.

Source :
Blog de Firefox

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre FONTAINE