Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox 70 épinglera les sites n’utilisant pas HTTPS

Firefox 70 épinglera les sites n'utilisant pas HTTPS

Le 29 août 2019 à 09h03

Attendue pour le 23 octobre, cette version fera du HTTPS la valeur par défaut pour les sites visités. Traduction : l'accès sécurisé deviendra le standard, seuls les sites n'en profitant pas étant alors labellisés comme tels. 

Jusqu'à présent, ce signalement n'était présent que sur les pages embarquant un formulaire de connexion, afin d'avertir l'internaute que ses identifiants étaient transmis sans chiffrement.

Chrome a adopté ce comportement global dans sa version stable depuis l’année dernière. Dans Firefox, il faut pour l'instant changer un réglage dans le « about:config » pour l'obtenir :

  • security.insecure_connection_icon.enabled : dans toutes les sessions de navigation
  • security.insecure_connection_icon.pbmode.enabled : uniquement en navigation privée

Les utilisateurs des versions Nightly peuvent cependant voir ce nouveau comportement par défaut. Firefox 69 devant sortir dans quelques jours, la version 70 entrera dans la foulée dans le canal bêta et sera dès lors disponible chez un plus grand nombre d’utilisateurs.

Selon les dernières statistiques fournies par Let’s Encrypt, 79,3 % des pages chargées par Firefox sont actuellement en HTTPS (la télémétrie provient de Mozilla). 

La majeure partie du chemin a donc déjà été parcourue, mais les derniers 20 % seront les plus difficiles à résorber, l’immense majorité des principaux sites ayant déjà transité vers le HTTPS. Le changement introduit dans Firefox 70 ne peut donc qu’encourager les retardataires. 

Le 29 août 2019 à 09h03

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







RévolutioN a écrit :



Un jour Lefigaro.fr y passera peut-être ?





Non il disparaitra et ce n’est pas un mal (oups, c’est demain vendredi…) <img data-src=" />


votre avatar

Quel est l’intérêt de pousser tous les sites web à passer en https ?

&nbsp;

Autant je comprends l’absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?



Par exemple :https://stallman.org/

A quoi sert le https dans ce cas ?

N’est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?

votre avatar







Caius666 a écrit :



Quel est l’intérêt de pousser tous les sites web à passer en https ?

 

Autant je comprends l’absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?



Par exemple :https://stallman.org/

A quoi sert le https dans ce cas ?

N’est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?





Je pense comme vous mais il y a peut-être un raison. En espérant que quelqu’un nous l’apporte (si elle existe)


votre avatar
votre avatar







Caius666 a écrit :



Quel est l’intérêt de pousser tous les sites web à passer en https ?

 

Autant je comprends l’absolue nécessité pour les sites de commerce en ligne, santé, avec lesquels on échange des données sensibles, mais pour les autres qui ne requièrent aucune identification ou interaction, est-ce bien utile ?



Par exemple :https://stallman.org/

A quoi sert le https dans ce cas ?

N’est-ce pas faire du chiffrement (et donc de la consommation de ressources CPU) pour pas grand chose ?







Il faut savoir qu’aujourd’hui le chiffrement a grandement été optimisé sur les CPU (un rapide exemple perso pour ce que ça vaut, mon processeur, un i7 4700HQ peut faire du chiffrement AES à 5 Gio/s et pour une page web, on reste généralement autour de quelques dizaines de Mo maximum, hors multimédia) et disposent d’instructions spécialisées. Quand on charge une page web, ce n’est le chiffrement qui demande beaucoup de ressources CPU, c’est plus l’affichage du site en lui-même qui peut être (très) lourd.



Ensuite, quant à l’intérêt d’avoir partout du https, le premier est d’en faire la norme, c’est-à-dire habituer tout le monde a utilisé du https par défaut, même si l’utilité ne saute pas aux yeux. Le but est de faire devenir le http l’exception et que cela saute aux yeux de l’utilisateur pour qu’il soit au courant des risques si jamais il y renseigne des données.



Un deuxième intérêt est de rendre la surveillance de masse plus difficile : en effet, le protocol https chiffre tout, y compris l’url, il n’est ainsi pas possible de savoir ce que vous lisez. Si l’ip est toujours en clair - il faut bien router les paquets -, il n’est pas possible de savoir quelle page du site web vous lisez en particulier voire même il n’est pas possible de savoir quel site web vous visitez si une même ip héberge plusieurs sites web.*



Ce sont, pour moi, les deux intérêts principaux du https, en plus de protéger la transmission de données sensibles.


votre avatar







darkweizer a écrit :



Je pense comme vous mais il y a peut-être un raison. En espérant que quelqu’un nous l’apporte (si elle existe)





Aucun. Mozilla encourage à polluer la planète.


votre avatar

Il me semble que ça permet de savoir que c’est bien le site demandé qu’on lit (sauf certificats menteurs de certains pays, mais c’est rare).

Il est plus difficile de corrompre les données entre le site et ton navigateur.

votre avatar







Typhlos a écrit :



en effet, le protocol https chiffre tout, y compris l’url, il n’est ainsi pas possible de savoir ce que vous lisez. Si l’ip est toujours en clair.







Non, ça chiffre pas l’url de base, seulement la page accédée, malheureusement.



En gros https://site.com/page.html

La requête vershttps://site.com/ est en clair.



L’intérêt ? Ce n’est pas parce qu’il n’y a pas échange de données «sensibles» (mot de passe etc) qu’il ne faut pas chiffrer. Un opérateur où qui que ce soit sur la ligne, n’a pas à connaître le contenu de tes correspondances, même si c’est la lecture d’une page d’un site statique. Ça s’appelle la vie privée.


votre avatar







psn00ps a écrit :



Aucun. Mozilla encourage à polluer la planète.





Le mieux est de revendre son ordinateur et de se pendre, ça fera du compost <img data-src=" />







marba a écrit :



Non, ça chiffre pas l’url de base, seulement la page accédée, malheureusement.





Effectivement, et d’autant plus si le DNS est géré par l’observateur… (genre en entreprise)


votre avatar







marba a écrit :



Non, ça chiffre pas l’url de base, seulement la page accédée, malheureusement.



En gros https://site.com/page.html

La requête vershttps://site.com/ est en clair.







Au temps pour moi, je pensais que l’intégralité de l’url était chiffrée.



Edit : J’ai fait quelques recherches complémentaires et apparemment, la version 1.3 de TLS permet de chiffrer aussi le SNI mais c’est toujours à l’état de brouillon :https://tools.ietf.org/html/draft-ietf-tls-esni-03#section-3.2 et cf la deuxième réponse dehttps://stackoverflow.com/questions/499591/are-https-urls-encrypted



Bon il reste le soucis que les requêtes DNS sont loin d’être chiffrés par la majorité, il reste encore pas mal de boulot pour que cela devienne aussi commun que le https même si Mozilla essaye de pousser la chose via Firefox. Et il faut qu’on se décide entre DNS over HTTPS et DNS over TLS.


votre avatar

Pour protéger un maximum sa vie privée vis à vis des DNS:







  • DNS sur HTTPS : Firefox &gt; Options &gt; Paramètres réseau &gt; Paramètres… &gt; Cocher la case “Activer DNS via HTTPS”.

  • ESNI (encrypted sni) : dans about:config: network.security.esni.enabled à true







    Check la sécurité DNS (Secure DNS + DNSSEC + Encrypted SNI):https://www.cloudflare.com/ssl/encrypted-sni/



    Liste d’autre serveurs DNS que cloudflare (américain donc pas fiable) par défaut de Firefox à utiliser pour le DNS sur HTTPS:

    github.com GitHubAprès ça passera toujours par un intermédiaire tiers du site visité, c’est vraiment pas idéal, mais c’est toujours mieux de centraliser et chiffrer vers un seul acteur, que de balancer tout en clair sur le réseau (FAI, gouvernement, espions, pirates, entreprises etc…).

    La solution idéale serait de passer les requêtes DNS par TOR mais c’est pas à l’ordre du jour.

votre avatar







marba a écrit :



Après ça passera toujours par un intermédiaire tiers du site visité, c’est vraiment pas idéal, mais c’est toujours mieux de centraliser et chiffrer vers un seul acteur, que de balancer tout en clair sur le réseau (FAI, gouvernement, espions, pirates, entreprises etc…).





Pour mitiger un peu ça : utilisation des serveurs “racine” avec unbound par exemple.


votre avatar

Merci pour la config d’ESNI, je ne connaissais pas. Pour le DNS over HTTPS, j’utilise déjà ceux de Quad9 :)









marba a écrit :



Après ça passera toujours par un intermédiaire tiers du site visité, c’est vraiment pas idéal, mais c’est toujours mieux de centraliser et chiffrer vers un seul acteur, que de balancer tout en clair sur le réseau (FAI, gouvernement, espions, pirates, entreprises etc…).

La solution idéale serait de passer les requêtes DNS par TOR mais c’est pas à l’ordre du jour.







Il faut que ça se déploie de plus en plus pour qu’on ait le choix et que le DNS over HTTPS soit plus facile à déployer parce que je crois qu’il n’y a pas beaucoup de résolveur qui le support pour l’instant si on veut en déployer un chez soi (j’ai que Unbound en tête qui le supporte actuellement. Bind9 et Dnsmasq n’ont pas l’air de le supporter).


votre avatar

Ça passe toujours par un tiers du site visité, sauf que là tu en as le contrôle. Mais cette solution est pas possible pour la grande majorité des utilisateurs. DNS via TOR c’est ça l’avenir.

votre avatar

Si je ne m’abuse, si le domaine n’est pas chiffré, c’est en partie parce que les protocoles de sécurisation de la résolution DNS ne sont pas développés (et que, de toutes façons, le résolveur DNS est la plupart du temps un tiers, que ce soit le FAI ou son employeur, donc il doit avoir l’information en clair pour réaliser la résolution). Sachant que le chiffrement des requêtes DNS vers un serveur d’autorité n’est pas possible à ce jour.



Ça n’est pas la raison unique ; même si on chiffre la résolution DNS et qu’on utilise un tiers de confiance, il faut transmettre au service contacté le nom de domaine et le(s) sous-domaine(s) [typiquement pour la gestion des vhosts côté serveur] ; or, à l’heure actuelle, la transmission chiffrée de ces informations n’est pas supportée de façon générale (que ce soit over TSL ou over HTTPS).

votre avatar

A la question “pourquoi pour le site lambda, alors que le besoin est réel pour le site de e-commerce ?”



Rappelons que le fait d’aller sur un site chiffré quand le reste en clair pose la question de “qu’est-ce que tu as à cacher ?” alors que lorsque tout est chiffré, la question ne pose pas .



En prévention :fr.wikipedia.org Wikipedia .

votre avatar







marba a écrit :



DNS via TOR c’est ça l’avenir.





Sauf que ton nœud TOR final peut être moisi… et les outils de DPI savent identifier du Tor.



Il n’y aura jamais de solution miracles, juste des “moins pires”.


votre avatar







bilbonsacquet a écrit :



Sauf que ton nœud TOR final peut être moisi…





Comment ça ?







bilbonsacquet a écrit :



et les outils de DPI savent identifier du Tor.







Ils peuvent identifier du Tor oui et alors ? Ils savent que tu te connectes au réseau Tor, pas ce que tu y fait ni avec qui tu communiques.







bilbonsacquet a écrit :



Il n’y aura jamais de solution miracles, juste des “moins pires”.







Avec l’essor de DNSSEC + DNS Secure + ESNI, on est pas loin d’avoir une solution «correcte».



Le seul problème qui reste c’est qu’avec DNS over HTTPS (DoH) ou DNS over TLS (DoT), le serveur peut loguer toutes nos requêtes depuis notre IP.



Avec DNS via Tor ça résoudrait le problème.


votre avatar

Merci pour vos retours !

&nbsp;

Notamment les informations concernant l’URL.

Je pensais qu’elle n’était pas du tout concernée par le chiffrement (d’où mon questionnement, si tout le monde peut savoir où l’on va, pourquoi chiffrer le contenu des pages).



Je reste toutefois mitigé sur cette volonté de plus ou moins imposer le https à tout le monde.

Cela ne me parait pas être la bonne approche en ce qui concerne la protection de la vie privée qui doit relever de la vigilance de chacun.



Le chiffrement n’empêche pas le site web sur lequel on se rend d’être au final malveillant. Par exemple, je suppose qu’ un État peu scrupuleux peut créer un site relevant d’une idéologie particulière et collecter les IP des personnes qui viennent le consulter (sauf s’ils sont passés par TOR, mais peut-être que Firefox nous alertera dans ses prochaines versions que nous ne sommes pas passé par TOR ?).



Aussi, j’aurais plutôt tendance à craindre que ce chiffrement intégral n’ait pour conséquence que de faire baisser le niveau de vigilance (déjà bien bas…) des internautes et, encore une fois, de consommer des ressources énergétiques pour pas grand chose, même si les CPU sont optimisés pour.

votre avatar







Caius666 a écrit :



Notamment les informations concernant l’URL.

Je pensais qu’elle n’était pas du tout concernée par le chiffrement (d’où mon questionnement, si tout le monde peut savoir où l’on va, pourquoi chiffrer le contenu des pages).







On peut savoir seulement quel site tu demandes, pas la ressource/page que tu lui demandes, c’est quand même très différent.







Caius666 a écrit :



Je reste toutefois mitigé sur cette volonté de plus ou moins imposer le https à tout le monde.

Cela ne me parait pas être la bonne approche en ce qui concerne la protection de la vie privée qui doit relever de la vigilance de chacun.







Le https est/devient la norme parce que c’est nécessaire. Il y a et il y a eu trop d’abus (collecte massive etc).



Il faut être vigilant des données qu’on partage avec un site web oui, le canal par lequel vous communiquez lui n’a pas à être écouté/manipulé. Le https garanti à la foi le chiffrement ET intégrité (le FAI peut changer le contenu d’une page à la volée sur le web en clair par exemple, ça s’est déjà fait).







Caius666 a écrit :



Le chiffrement n’empêche pas le site web sur lequel on se rend d’être au final malveillant. Par exemple, je suppose qu’ un État peu scrupuleux peut créer un site relevant d’une idéologie particulière et collecter les IP des personnes qui viennent le consulter (sauf s’ils sont passés par TOR, mais peut-être que Firefox nous alertera dans ses prochaines versions que nous ne sommes pas passé par TOR ?).







Le https n’a jamais cherché à empêcher les sites malveillants (facebook, google & cie), seulement à sécuriser les canaux de communications, ça n’est pas la même chose. Ça empêche la surveillance de masse et les manipulations de masse.









Caius666 a écrit :



Aussi, j’aurais plutôt tendance à craindre que ce chiffrement intégral n’ait pour conséquence que de faire baisser le niveau de vigilance (déjà bien bas…) des internautes et, encore une fois, de consommer des ressources énergétiques pour pas grand chose, même si les CPU sont optimisés pour.







Le niveau de vigilance c’est un autre problème, c’est une question d’éducation. Le https n’a jamais signifié «fiable», ça signifie «connexion sécurisée». Les navigateurs (firefox et chrome) vont dans le bon sens à ce niveau là, le cadenas va disparaître, il apparaitra uniquement barré pour les connexions en clair pour signifier l’absence de connexion sécurisée.



Comme dit plus haut, la consommation énergétique c’est vraiment un problème à la marge là.


votre avatar







marba a écrit :



Il faut être vigilant des données qu’on partage avec un site web oui, le canal par lequel vous communiquez lui n’a pas à être écouté/manipulé. Le https garanti à la foi le chiffrement ET intégrité (le FAI peut changer le contenu d’une page à la volée sur le web en clair par exemple, ça s’est déjà fait).





Ok pour l’intégrité. C’est ce que disait esver un peu plus tôt mais je n’avais pas bien saisi. Effectivement c’est un vrai plus du https.

&nbsp;





marba a écrit :



Le niveau de vigilance c’est un autre problème, c’est une question d’éducation. Le https n’a jamais signifié «fiable», ça signifie «connexion sécurisée». Les navigateurs (firefox et chrome) vont dans le bon sens à ce niveau là, le cadenas va disparaître, il apparaitra uniquement barré pour les connexions en clair pour signifier l’absence de connexion sécurisée.





A voir pour la disparition du cadenas vert à l’usage, mais je pense aussi que c’est une bonne chose et que ça incitera les internautes à bien vérifier l’URL du site sur lequel ils sont.



Merci pour toutes ces précisions, je saisis mieux les enjeux.


votre avatar







Typhlos a écrit :



Ensuite, quant à l’intérêt d’avoir partout du https, le premier est d’en faire la norme, c’est-à-dire habituer tout le monde a utilisé du https par défaut, même si l’utilité ne saute pas aux yeux. Le but est de faire devenir le http l’exception et que cela saute aux yeux de l’utilisateur pour qu’il soit au courant des risques si jamais il y renseigne des données.











Caius666 a écrit :



Le chiffrement n’empêche pas le site web sur lequel on se rend d’être au final malveillant. Par exemple, je suppose qu’ un État peu scrupuleux peut créer un site relevant d’une idéologie particulière et collecter les IP des personnes qui viennent le consulter (sauf s’ils sont passés par TOR, mais peut-être que Firefox nous alertera dans ses prochaines versions que nous ne sommes pas passé par TOR ?). 




Aussi, j'aurais plutôt tendance à craindre que ce chiffrement intégral n'ait pour conséquence que de faire baisser le niveau de vigilance (déjà bien bas...) des internautes et, encore une fois, de consommer des ressources énergétiques pour pas grand chose, même si les CPU sont optimisés pour.&nbsp;








En soit, le cadenas constituait une protection… par son coût. Un certificat SSL coûtait des centaines d’euros à l’époque, or les faux sites banquaires ou autres arnaques ne pouvaient pas se le permettre. Je conseillais donc moi-même aux Mr Lambda/Michu de vérifier la présence du cadenas quand on lui demandait quelque chose de suspect, car c’était un indicateur valable pour vérifier une arnaque vu qu’une institution légitime aurait forcément fait le paiement adhoc.



Mais avec Google et son référencement avantagé du HTTPS, causant dès lors une guerre concurentielle qui a réduit le coût d’un certificat au néant absolu, les faux sites s’en sont donnés à coeur joie et l’emploie systématiquement de nos jours.



Maintenant pour arnaquer quelqu’un, il faut un texte convainquant, 10 € pour le nom de domaine, et 30 € de publicité Facebook/Google, et utiliser un Let’s Encrypt. Rentabilisé dès le premier pigeon plumé.



Donc faire baisser le niveau de vigilance ? Non pas vraiment, il est à craindre que les utilisateurs continuent de s’y référer pour valider un site quelconque. Par contre, ça a immanquement baissé le niveau de sécurité.



L’HTTPS est l’exemple où trop de sécurité peut tuer la sécurité.


votre avatar

Pour les cas de sites voulant afficher son identité, il y a toujours la solution du certificat EV qui affiche le nom de l’entreprise dans la barre d’adresse (à côté du cadenas justement).



Certes, c’est plus coûteux et contraignant qu’un certificat DV classique mais ça oblige le demandeur à prouver son identité. A l’avenir, il va juste falloir adapter ce conseil… et apprendre aux gens à ne pas se fier au joli cadenas gris maintenant. ^^’

votre avatar

Comme précisé, seul le nom de domaine est transmis en clair, cela s’appelle Server Name Indication qui permet d’avoir plusieurs certificats TLS et donc plusieurs sites sur la même adresse IP.



Avec DNS over TLS/HTTPS, Encrypted SNI (qui utilise aussi DNS pour obtenir une clé publique en avance) et TLS 1.3 (qui ajoute le support d’ESNI), il y a moyen de masquer le site visité aux fournisseurs d’accès à Internet et aux routeurs sur le réseau, mais vu la difficulté et la nécessité d’utiliser des services cloud pour que l’adresse IP soit partagée avec de nombreux sites, il y a peu de chances que ce soit adopté par de nombreux sites, en gros seul Cloudflare peut proposer ça actuellement (et Cloudflare a accès à tout le traffic en clair évidemment).

votre avatar

Jusqu’au jour où le cadenas disparaîtra parce que l’HTTPS sera considéré standard à 12 % près, rendant l’accès à cette information moins aisée et donc personne ne fera attention.



Oui j’ai tendance à ne pas sous-estimer les nuisances que génèrent l’informatique dumbing-down.

votre avatar







arhenan a écrit :



Pour les cas de sites voulant afficher son identité, il y a toujours la solution du certificat EV qui affiche le nom de l’entreprise dans la barre d’adresse (à côté du cadenas justement).





Nope, Safari ne l’affiche pas (juste l’URL en “vert”), Firefox et Chrome ne l’afficheront plus du tout dans les versions de cette année normalement (v70 pour Firefox).



Ils justifient ça (à raison) que le process d’obtention n’est pas vraiment “sûr” car on peut prendre un certificat EV au même nom qu’une boite super connue si on habite dans un autre état (américain) ou même un autre pays, ils citent l’exemple de “Square” qui est un très connu aux US pour le paiement en ligne et ils ont pu prendre un certificat EV au même nom dans un autre état…


votre avatar

Je ne peux plus modifier le message.



La source :

groups.google.com Google

votre avatar

Donc par crainte de notre prochain, nous avons maintenant la possibilité de parler avec tout le monde sans écoute, mais de ne plus être sur d’avec qui <img data-src=" />



Ca aurait du être des travaux parallèles ^^”

votre avatar

J’étais pas au courant pour le coup, merci de l’information. <img data-src=" />

Mais du coup, je me demande vers quoi on se dirige avec le HTTPS… D’un côté, on le pousse pour tout le monde, mais de l’autre, il perd son atout “d’identification” du site en question. Ça existera toujours mais combien de personnes sauront qu’ils peuvent avoir le détail en cliquant sur le cadenas… :/

votre avatar







arhenan a écrit :



Mais du coup, je me demande vers quoi on se dirige avec le HTTPS… D’un côté, on le pousse pour tout le monde, mais de l’autre, il perd son atout “d’identification” du site en question.





Le SSL a toujours été fait pour sécuriser la communication entre le client et le serveur, rien de plus.



Le EV a été mis en place par les boites de certif pour faire du blé…



Mark Shuttleworth (Canonical / Ubuntu) a fait sa fortune en revendant Thawte à VeriSign…



Pour le reste, il y a le “cerveau” de l’utilisateur… Mais c’est pas gagné…


votre avatar

Ça évite le MITM. Genre, pas d’injection de pub possible, ou de malware, ou autre, entre le serveur et ton client. Du moins, tant que le bon certificat est utilisé (en entreprise ou dans certains pays, c’est pas garanti).

votre avatar

Je n’ai pas besoin que les vidéos de chatonsgentils.fr soient chiffrées.

C’est une pollution inutile pour la planète et ca fait peur à celui qui vient sans raison.



Mets ta combinaison bactériologique, il pourrait y avoir une variante d’Ebola.

votre avatar







psn00ps a écrit :



Je n’ai pas besoin que les vidéos de chatonsgentils.fr soient chiffrées.

C’est une pollution inutile pour la planète et ca fait peur à celui qui vient sans raison.



Mets ta combinaison bactériologique, il pourrait y avoir une variante d’Ebola.







On s’en fiche de ton avis. Si tu n’est pas capable de prendre du recul pour comprendre le problème de la surveillance et la manipulation de masse c’est pas grave. Mais n’affirme pas que ça ne sert à rien.



Firefox 70 épinglera les sites n’utilisant pas HTTPS

Fermer