Passer au contenu

Firefox : seuls les sites Web sécurisés pourront bénéficier de ses nouvelles fonctions

Afin de précipiter l’adoption des protocoles de connexions sécurisées en ligne, Firefox pourrait adopter, avec Google, des méthodes limitant l’accès aux nouveautés de son navigateur aux sites en HTTPS.

Le HTTP est mort !  Vive le HTTPS ! Malgré les failles de sécurité comme HeartBleed, l’ère des connexions non chiffrées est terminée. C’est le message que la fondation Mozilla veut faire passer à la communauté du Web – les utilisateurs et les gestionnaires de sites. Un message qui revêt une certaine urgence, autant pour la sécurité des échanges commerciaux que pour préserver nos vies privées.

Quatre étapes pour chiffrer nos connexions au Web

Afin d’aider le destin et de faire en sorte que le Web bascule un peu plus rapidement vers les connexions sécurisées, Richard Barnes, coresponsable de la sécurité pour Mozilla, a proposé une position très volontariste.
Dans un échange de mails sur une des listes de discussion du projet Firefox, Richard Barnes indique ainsi : « afin d’encourager les développeurs Web à passer du HTTP au HTTPS, j’aimerais proposer l’établissement d’un plan de dépréciation du HTTP sans sécurité ».

Il précise aussitôt ce qu’il a en tête : « de manière générale, cette stratégie viserait à limiter les nouvelles fonctions aux contextes sécurisés, suivies ensuite par la suppression progressive des fonctions historiques pour les sites non sécurisés ».

Dans ce sens, Richard Barnes et Martin Thomson, l’autre responsable de la sécurité de Firefox, ont rédigé un premier plan visant à encourager l’abandon du HTTP. Quatre phases sont décrites.
La Phase 0 est actuellement en cours de développement, elle consiste à préparer les outils nécessaires à la mise en place de ce type de « filtre » en fonction de la sécurité. Un groupe de travail avance d’ores et déjà sur ces Privileged Contexts, où les fonctions ne sont accessibles que dans un contexte sécurisé.

La Phase 1 impliquera qu’après une date donnée, toutes les nouvelles fonctions devront requérir ces contextes privilégiés. La Phase 2 reprend le principe de la date butoir et de l’obligation de sécurité mais pour toutes les fonctions. La Phase 3 se résume à une courte phrase : « La grande majorité du Web est en HTTPS. »

Une tendance globale

Cette tendance à vouloir faire avancer le Web de force vers plus de sécurité n’est pas l’apanage de Mozilla. Google – qui a introduit des alarmes dans Chrome en janvier dernier quand un site n’est pas sécurisé – et Yahoo! sont déjà très actifs au sein du W3C pour aller dans ce sens. L’IETF pousse également vers un chiffrement des échanges en ligne.
Aux utilisateurs également d’être vigilants et de privilégier et demander les services sécurisés. Il faudra également que la communauté du Web veille à financer correctement et intelligemment le développement des outils qui garantissent cette sécurité.

A lire aussi :
Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS
– 18/03/2015
Le chiffrement open source GnuPG, sauvé in extremis par les dons des internautes
– 06/02/2015

Source :
Liste de discussion de Mozilla
via CNet US

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine