Alerte d'authentification non sécurisée : ce ne sera pas pour Firefox 44

Alerte d’authentification non sécurisée : ce ne sera pas pour Firefox 44

Les sites peuvent encore souffler un peu

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

18/01/2016 4 minutes
21

Alerte d'authentification non sécurisée : ce ne sera pas pour Firefox 44

Mozilla avait prévu d'intégrer une alerte au sein de Firefox 44 afin d'indiquer lorsqu'un site propose de se connecter sans passer par une requête HTTPS. Si elle est pour le moment désactivée par défaut, cela devrait bientôt changer.

En octobre dernier, les utilisateurs de la version « Nightly » de Firefox découvraient une nouveauté relative à la sécurité prévue à cette époque pour la mouture 44 : l'alerte de connexion non sécurisée. Celle-ci prenait une forme simple : un cadenas barré avec un message indiquant que « votre identifiant pourraît être compromis ». Celui-ci apparaît lorsqu'une page contient un champ de mot de passe sans utiliser HTTPS.

HTTPS se répand, mais la connexion sécurisée souvent aux abonnés absents

Une bonne nouvelle alors que le chiffrement prend de plus en plus de place et qu'il est poussé par de nombreux grands acteurs, Google en tête. Car si certains remettent en cause l'intérêt d'un web qui passe principalement par des connexions sécurisées, il y a bien un contexte dans lequel il apparaît comme vital sans pour autant être exploité : celui de la protection de nos mots de passe.

En effet, bon nombre de sites utilisent actuellement un script de connexion qui passe uniquement par une requête HTTP. Ainsi, votre mot de passe est envoyé en clair au serveur, avant d'être hashé/salé puis comparé à la valeur stockée en base de données. Tout du moins, lorsque celle-ci n'est pas elle-même stockée en clair, ce qui arrive encore malgré les recommandations de la CNIL ou même les sanctions infligées à certains.

Quoi qu'il en soit, chaque jour vous vous connectez à des sites et votre mot de passe se ballade en clair sur le réseau. C'est notamment le cas de nombreux sites d'informations qui vantent pourtant le besoin de protéger ses données ou le chiffrement des communications. Les utilisateurs ne sont pas vraiment avertis de cet état de fait, et n'ont pas forcément conscience du danger que cela représente, notamment lorsqu'ils sont sur un réseau Wi-Fi public par exemple.

Pour vous en convaincre, vous pouvez utiliser des logiciels tels que Wireshark ou Fiddler (plus facile d'accès pour un débutant) qui vous permettront de voir la liste des requêtes traitées par votre machine hors du navigateur. Lors d'une connexion HTTP, vous pourrez retrouver vos identifiants de connexion en clair comme sur les captures ci-dessous. Avec une connexion HTTPS, ce ne sera pas le cas.

mot de passe en clairmot de passe en clair

Firefox va vous alerter des sites proposant une connexion non sécurisée

Conscients de cette problématique, les développeurs de Firefox veulent sensibiliser activement les utilisateurs au-delà de la mention passive d'une connexion non sécurisée.  Ils avaient ainsi introduit une alerte pour les pages ne proposant que des connexions en HTTP.

La solution n'est pas parfaite, puisque sur un site qui propose une page en HTTP mais une connexion via une requête HTTPS par exemple (comme Next INpact si vous ne passez pas sur le gestionnaire de compte, ou l'extranet de la CNIL), une alerte est tout de même affichée. Au fil des semaines, d'autres soucis ont été trouvés, dont certains étaient particulièrement bloquants.

Ainsi, un lien vers une page d'information a été introduit afin de permettre à l'utilisateur de comprendre la présence d'une telle alerte. Un bug a aussi été corrigé pour les développeurs qui voyaient des alertes s'afficher lorsqu'ils effectuaient des tests de manière locale. Reste un souci avec les fichiers PDF qui affichent systématiquement le message.

Extranet CNIL HTTP
Le site de la CNIL renvoie une erreur, mais la connexion se fait bien via HTTPS dans le formulaire

En attendant que ce bug soit corrigé, la fonctionnalité a été désactivée dans les différentes moutures de Firefox. Elle devrait ainsi être réactivée dans une version ultérieure une fois qu'elle sera renforcée. Cela permettra aux sites de se préparer, afin de ne pas avoir à gérer les utilisateurs mécontents de voir ainsi des données sensibles - comme un mot de passe - transmises de manière non sécurisée.

Pour le moment, si vous désirez activer cette fonctionnalité manuellement, vous avez la possibilité de le faire en suivant cette procédure (Firefox 44+) :

  • Taper about:config dans la barre d'adresse de firefox
  • Rechercher l'option security.insecure_password.ui.enabled
  • Effectuer un clic droit puis sélectionner Inverser pour passer la valeur à true

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

HTTPS se répand, mais la connexion sécurisée souvent aux abonnés absents

Firefox va vous alerter des sites proposant une connexion non sécurisée

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (21)


Les sites vont passer les inputs en text pour éviter de se taper des certificats SSL xD 


« Car si certains remettent en cause l’intérêt d’un web qui passe principalement par des connexions sécurisées »



La NSA ?<img data-src=" />


Avec mon FFox à jour (43.0.4) je n’ai pas le paramètre “security.insecure_password.ui.enabled”

Des idées ?


La news mentionne pourtant bien firefox 44


Il est disponible dans la bêta pour le moment de mémoire (donc 44+) mais bon elle sera diffusée à tous sur le canal classique dès la semaine prochaine de mémoire <img data-src=" />&nbsp;


Non mais après quelques news “HTTPS” on a systématiquement des remontées du genre “non mais tout chiffrer ça sert à rien, on se moque de chiffrer les échanges avec un site web lambda ou un blog”. Du coup je précise que même pour ceux qui pensent ça, un chiffrement au niveau du login, ça reste à peu près la moindre des choses.&nbsp;


Je pige pas bien pourquoi la fonctionnalité est repoussée…





Un bug a aussi été corrigé&nbsp;pour les développeurs qui voyaient des alertes s’afficher







En attendant que ce bug soit corrigé





C’est corrigé ou pas ? <img data-src=" />


Ah d’accord, je l’ignorais…

Merci pour la précision ! :)


Ah, ben il devrait y avoir des avertissements sur nextinpact.com alors ;)


En fait il faut tout lire, il y a deux bugs, un seul a été corrigé pour le moment, un restant sur la gestion des PDF.


Là aussi, tout lire est important : une alerte sera bien levée pour NXi (sur le site, mais pas le gestionnaire de compte), et ce malgré le fait que la procédure de connexion soit en HTTPS depuis le lancement de la v6 il y a un moment maintenant.



Accessoirement, on l’a déjà dit, mais après avoir migré les Premium sur du full HTTPS sur demande, ce sera aussi le cas des autres lecteurs d’ici peu (mais une fois de plus, la connexion est en HTTPS depuis l’arrivée du gestionnaire de compte).


Avec une attaque par homme du milieu, le gars qui modifie la cible du formulaire sur la version http peut récupérer le mot de passe avant de rediriger vers votre https (ou faire proxy).


C’est pour ça qu’on propose une connexion via le gestionnaire de compte en direct pour ceux qui veulent s’assurer de disposer d’une connexion HTTPS sur une page HTTPS. Mais on ne pouvait pas dégager le formulaire de la version HTTP pour autant, sachant que ce sera corrigé avec le passage au tout HTTPS.



Mais une fois de plus, qu’on voit déjà une majorité de sites proposer une connexion HTTPS au moins pour la connexion, on aura alors tout loisir de venir pinailler sur les implémentations de chacun ;)


https oui oki pour le passe…mais après une fois sur le site on est tout de mème tracker par en moyenne une dizaine de robots….alors sécuriser oui mais que le site arrêtes de jouer la mauvaise fois aussi ex : ici vous êtes sur notre site sécurisé…oui oui mais après on te track……je dis ça mais je dis rien <img data-src=" />


Ce sont des problématiques différentes, et s’attaquer à l’une n’empêche pas de s’attaquer à l’autre.


vi mais faut dire ça au sites…qu’ils disent pas sécurisé quand derrière on nous suis partout j’appelle pas ça sécurisé…enfin bref je suis d’accord sur 2 problèmes différent mais l’utilisateur lambda croit que https veut dire sécurité…donc se dit il y a https donc suit tranquille..c’est le mot sécurisé qui va pas avec https…sécurisé en quoi ? le mot de passe ? hmmmm ça empêchera pas certain site mal codé de se faire bouffer des centaines de comptes…alors le https pour moi ça veut pas dire sécurisé…en rien du tout. c’est plutôt une nouvelle normes que certains veulent imposer afin de se faire du pognon(certificat payant) ….après quand a la sécurité pour moi il va pas falloir attendre longtemps avant de voir que ça sécurise en rien …


C’est bon, comme dit plus haut, il suffit de passer le champ “password” des input en “text” et éventuellement trouver un moyen en js pour quand même avoir une input qui cache les caractères…



Misons quand même qu’à force de voir ce cadenas barré partout, les gens finiront par trouver ça normal.








Exception a écrit :



Misons quand même qu’à force de voir ce cadenas barré partout, les gens finiront par trouver ça normal.







Comme tout ce qui est événementiel côté utilisateur.



Un premier message certains regardent, au deuxième message c’est “OK” avec un “ta gueule”.



Pour qu’un message anxiogène soit efficace, il faut qu’il soit lu et compris par l’utilisateur. Deux choses jamais faites, enfin, si, de temps en temps pour la première.







olivierdj a écrit :



vi mais faut dire ça au sites…qu’ils disent pas sécurisé quand derrière on nous suis partout j’appelle pas ça sécurisé…enfin bref je suis d’accord sur 2 problèmes différent mais l’utilisateur lambda croit que https veut dire sécurité…donc se dit il y a https donc suit tranquille..c’est le mot sécurisé qui va pas avec https…sécurisé en quoi ? le mot de passe ? hmmmm ça empêchera pas certain site mal codé de se faire bouffer des centaines de comptes…alors le https pour moi ça veut pas dire sécurisé…en rien du tout. c’est plutôt une nouvelle normes que certains veulent imposer afin de se faire du pognon(certificat payant) ….après quand a la sécurité pour moi il va pas falloir attendre longtemps avant de voir que ça sécurise en rien …







Tracking peut-être, mais tracking sécurisé ! <img data-src=" />









SebGF a écrit :



Tracking peut-être, mais tracking sécurisé ! <img data-src=" />

&nbsp;



heuuu sécurisé ? le revoila le mot qui tue….sécurisé ? en quoi ? prouves le.

je dirais protégé pas sécurisé.

protégé en un instant lors de la saisie mais ça protège en rien une fois saisie et sur le site.

ça protège quand tu le tapes…oki et encore faites gaffes aux cookies..applications tierces du site etc…

voilà pourquoi je dis le mot sécurisé porte a confusion…et est pas vraiment adapté…pour la plupart des gens dès qu’on parle de sécurité ben ils sont tranquilou derrière..il faut bien expliquer que c’est pas parce que quand tu tapes ton pseudo et passe avec https on voit rien sur le coup que ça empêchera les cookies ou autres applications tierces du site de le révéler aux autres…voir même a ce dit site de se faire hacker…

je veux juste dire que beaucoup croient que parce que il y a https ils sont sécurisé…merci les journalistes qui relaient toujours le mauvais mot….non ça protège la saisie si le dit site a pas d’autres cookies a la con et applications tierces…car c’est de la maintenant que vient les failles et avec https….et comme plus de 99% des sites utilisent les cookies et autres applications tierces pour ce faire du pognon https sert a rien….

je dis ça….<img data-src=" />



C’était un soupçon de cynisme <img data-src=" />








SebGF a écrit :



C’était un soupçon de cynisme <img data-src=" />





un peu mais chuuuuttt <img data-src=" />