Mozilla avait prévu d'intégrer une alerte au sein de Firefox 44 afin d'indiquer lorsqu'un site propose de se connecter sans passer par une requête HTTPS. Si elle est pour le moment désactivée par défaut, cela devrait bientôt changer.
En octobre dernier, les utilisateurs de la version « Nightly » de Firefox découvraient une nouveauté relative à la sécurité prévue à cette époque pour la mouture 44 : l'alerte de connexion non sécurisée. Celle-ci prenait une forme simple : un cadenas barré avec un message indiquant que « votre identifiant pourraît être compromis ». Celui-ci apparaît lorsqu'une page contient un champ de mot de passe sans utiliser HTTPS.
HTTPS se répand, mais la connexion sécurisée souvent aux abonnés absents
Une bonne nouvelle alors que le chiffrement prend de plus en plus de place et qu'il est poussé par de nombreux grands acteurs, Google en tête. Car si certains remettent en cause l'intérêt d'un web qui passe principalement par des connexions sécurisées, il y a bien un contexte dans lequel il apparaît comme vital sans pour autant être exploité : celui de la protection de nos mots de passe.
En effet, bon nombre de sites utilisent actuellement un script de connexion qui passe uniquement par une requête HTTP. Ainsi, votre mot de passe est envoyé en clair au serveur, avant d'être hashé/salé puis comparé à la valeur stockée en base de données. Tout du moins, lorsque celle-ci n'est pas elle-même stockée en clair, ce qui arrive encore malgré les recommandations de la CNIL ou même les sanctions infligées à certains.
Quoi qu'il en soit, chaque jour vous vous connectez à des sites et votre mot de passe se ballade en clair sur le réseau. C'est notamment le cas de nombreux sites d'informations qui vantent pourtant le besoin de protéger ses données ou le chiffrement des communications. Les utilisateurs ne sont pas vraiment avertis de cet état de fait, et n'ont pas forcément conscience du danger que cela représente, notamment lorsqu'ils sont sur un réseau Wi-Fi public par exemple.
Pour vous en convaincre, vous pouvez utiliser des logiciels tels que Wireshark ou Fiddler (plus facile d'accès pour un débutant) qui vous permettront de voir la liste des requêtes traitées par votre machine hors du navigateur. Lors d'une connexion HTTP, vous pourrez retrouver vos identifiants de connexion en clair comme sur les captures ci-dessous. Avec une connexion HTTPS, ce ne sera pas le cas.
Firefox va vous alerter des sites proposant une connexion non sécurisée
Conscients de cette problématique, les développeurs de Firefox veulent sensibiliser activement les utilisateurs au-delà de la mention passive d'une connexion non sécurisée. Ils avaient ainsi introduit une alerte pour les pages ne proposant que des connexions en HTTP.
La solution n'est pas parfaite, puisque sur un site qui propose une page en HTTP mais une connexion via une requête HTTPS par exemple (comme Next INpact si vous ne passez pas sur le gestionnaire de compte, ou l'extranet de la CNIL), une alerte est tout de même affichée. Au fil des semaines, d'autres soucis ont été trouvés, dont certains étaient particulièrement bloquants.
Ainsi, un lien vers une page d'information a été introduit afin de permettre à l'utilisateur de comprendre la présence d'une telle alerte. Un bug a aussi été corrigé pour les développeurs qui voyaient des alertes s'afficher lorsqu'ils effectuaient des tests de manière locale. Reste un souci avec les fichiers PDF qui affichent systématiquement le message.
Le site de la CNIL renvoie une erreur, mais la connexion se fait bien via HTTPS dans le formulaire
En attendant que ce bug soit corrigé, la fonctionnalité a été désactivée dans les différentes moutures de Firefox. Elle devrait ainsi être réactivée dans une version ultérieure une fois qu'elle sera renforcée. Cela permettra aux sites de se préparer, afin de ne pas avoir à gérer les utilisateurs mécontents de voir ainsi des données sensibles - comme un mot de passe - transmises de manière non sécurisée.
Pour le moment, si vous désirez activer cette fonctionnalité manuellement, vous avez la possibilité de le faire en suivant cette procédure (Firefox 44+) :
- Taper about:config dans la barre d'adresse de firefox
- Rechercher l'option security.insecure_password.ui.enabled
- Effectuer un clic droit puis sélectionner Inverser pour passer la valeur à true
