Alors que nous étions sans nouvelles de l'activation par défaut de l'alerte d'authentification non sécurisée au sein de Firefox, Mozilla évoque ses plans. La version 46 dédiée aux développeurs est ainsi la première concernée, afin de les sensibiliser. La suite reste à définir.
Récemment, nous avons évoqué la volonté de Mozilla d'introduire une alerte en cas d'authentification non sécurisée. Par-là, il faut comprendre que les sites qui proposent une connexion sans passer par une page HTTPS, et donc laissent passer le mot de passe en clair, afficheront une alerte sous la forme d'un cadenas barré et d'un message.
Alerter les développeurs sur les mauvaises pratiques
Prévue au départ pour être introduite dans Firefox 44, elle avait été mise de côté le temps de corriger quelques bugs. Pour le moment, il est néanmoins possible de l'activer en suivant la procédure suivante :
- Taper about:config dans la barre d'adresse de firefox
- Rechercher l'option security.insecure_password.ui.enabled
- Effectuer un clic droit puis sélectionner Inverser pour passer la valeur à true
Mais dans un billet de blog intitulé « Les formulaires de connexion en HTTPS, s'il vous plaît », Mozilla indique une première étape pour l'activation par défaut de cette fonctionnalité. Elle est ainsi pour le moment intégré de la sorte dans l'édition dédiée aux développeurs, actuellement basée sur la branche 46. Selon le calendrier de la fondation, celle-ci est prévue pour arriver dans le canal général, et donc diffusée à tous les utilisateurs, d'ici le mois d'avril prochain.
Elle précise d'ailleurs au passage qu'il faut non seulement envoyer les informations de connexion via HTTPS mais que le formulaire doit lui-même être diffusé de la sorte pour éviter tout problème.
Mais Mozilla semble surtout vouloir lever le pied sur la généralisation de cette alerte, sans doute pour éviter de faire paniquer tout le secteur. En effet, la grande majorité des sites (hors des gros services) n'utilise pas du tout HTTPS pour la phase de connexion comme nous l'avions évoqué précédemment. Voir un cadenas barré se généraliser ainsi pourrait constituer une information claire donnée aux utilisateurs, mais aussi leur faire perdre toute confiance en les sites qu'ils visitent au quotidien.
HTTPS doit devenir la norme
L'objectif est donc tout d'abord de sensibiliser les développeurs, qui sont en première ligne pour cette évolution des mentalités. L'affichage de cette indication dans le navigateur est ainsi la suite logique de l'avertissement qui était déjà en place au sein de la console.
Dans une FAQ assez détaillée sur la question de la sécurisation de la phase de connexion qui vient d'être publiée elle confirme qu'aucun plan précis n'est pour le moment en place pour une activation dans le canal Beta ou général. Néanmoins, la fondation rappelle qu'elle va à terme considérer comme obsolète les sites accessibles uniquement en HTTP, tout comme Google avec Chrome. L'arrivée d'initiatives comme Let's Encrypt facilite d'ailleurs grandement le passage de nombreux sites à HTTPS.
Reste maintenant à voir si les développeurs et les éditeurs de sites prendront cette question en considération, ou s'il faudra en passer par une activation par défaut plus large d'une alerte pour que les choses bougent enfin.
