Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox 76 renforce son Picture-in-Picture et la sécurité des mots de passe

Firefox 76 renforce son Picture-in-Picture et la sécurité des mots de passe

Le 06 mai 2020 à 09h35

Le navigateur améliore le module permettant d'afficher une vidéo dans une portion d'écran. Il restera désormais actif même si vous changez d'onglet ou d'application pour continuer à suivre une vidéo lorsque vous faites autre chose. Un double-clic permet de l'agrandir ou de la réduire. Espérons que les publicitaires n'en abuseront pas trop...

WebRender est de son côté déployé sur les PC portables sous Windows à base de processeur Intel, avec une définition inférieure à 1920x1200. La liste des appareils ayant déjà effectué la transition est accessible par ici. D'autres petits changements ont bien entendu été mis en place, des habituels correctifs de sécurité à des retouches mineures sur la barre d'adresse en passant par le support de l'API AudioWorklet.

Mais le gros morceau du jour concerne la gestion des mots de passe via LockWise, qui a même eu droit à son billet de blog dédié. En cas de fuite découverte, il affichera une alerte et proposera de générer de nouveaux mots de passe complexes pour les services concernés (et compatibles). De plus, si votre liste n'est pas protégée par un mot de passe maître, il faudra désormais une connexion système sous macOS et Windows pour voir un élément ou le copier dans le presse-papier.

Tous les changements concernant les développeurs sont mentionnés ici.

Le 06 mai 2020 à 09h35

Commentaires (37)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Concernant l’histoire du “sans mot de passe maitre”, est-ce que ça signifie que la sauvegarde des mots de passe est un peu plus safe qu’auparavant dans le cas où on a pas de mot de passe maitre ?



J’ai activé le mdp maitre depuis un moment, mais je dois avouer que c’est pesant de devoir taper un mdp a chaque fois que je réouvre firefox après chaque redémarrage de l’ordi…

votre avatar



Espérons que les publicitaires n’en abuseront pas trop…





C’est comme si c’était fait.


votre avatar



Espérons que les publicitaires n’en abuseront pas trop…

<img data-src=" />

votre avatar

Le mot de passe maître devrait être obligatoire avec double case à cocher si tu n’en as pas !

votre avatar

Pour les adeptes du manchots et des autres systèmes libres, un billet plus approfondi sur les changements de cette version :https://linuxfr.org/news/firefox-76-dites-septantesix



Le plus important c’est la compatibilité retrouvée de Firefox avec les sites de visioconf’ comme Jitsi.

votre avatar

Quelqu’un connait la propriété à désactiver dans about:config pour enlever cette demande de mdp svp? Merci <img data-src=" />

votre avatar

De mon point de vue de vieux con, j’ai l’impression qu’on fait tout pour rendre la gestion des mots-de-passe compliquée et anti-ergonomique.



Je vois ca finir de 2 façons possibles:




  • retour au ficher motsdepasse.txt copié un peu partout pour pas le perdre.

  • adoption massive des technos “passwordless” avec la perte de contrôle qui va avec.



    Trop de sécurité tue la sécurité.

votre avatar







DanLo a écrit :



Concernant l’histoire du “sans mot de passe maitre”, est-ce que ça signifie que la sauvegarde des mots de passe est un peu plus safe qu’auparavant dans le cas où on a pas de mot de passe maitre ?



J’ai activé le mdp maitre depuis un moment, mais je dois avouer que c’est pesant de devoir taper un mdp a chaque fois que je réouvre firefox après chaque redémarrage de l’ordi…





Je viens de tester, ça demande de s’authentifier avec le mot de passe windows, mais si je copies les fichiers de profil dans un tout nouveau profil windows tout neuf sans mot de passe, il ne me demande rien du tout pour mes mots de passe enregistrés (qui viennent de ma session normale)



Autrement dit




  • Il n’y a aucun chiffrement ou protection réel, à mon avis si on creuse les fichiers on peut lire les mots de passe sans passer par cette authentification

  • si le profil est copié par copie des dossier roaming, ce qu’on fait souvent dans le cas de migration de profil d’un pc à un autre, on récupère tout sans problème

  • la clé maître reste le seul moyen de chiffrer les pass en local, si on a des craintes que quelqu’un ou un programme aille lire le contenu de AppData/Roaming



    Ce dont ça protège à priori : le petit malin qui a un accès au pc déverrouillé qui se dit qu’il va aller chercher les mots de passe enregistrés pour les récupérer


votre avatar



Espérons que les publicitaires n’en abuseront pas trop…





Heu, comment ça ?

votre avatar

Ah merci beaucoup pour le test. :)

Bon, je resterais avec mon mot de passe maitre du coup…



Je prend soin d’avoir un mot de passe différent (et 75% du temps email aussi) pour toutes mes connexions, et avec moyen mnémotechnique systématique… Je veux pas risquer une fuite à la con de la totalité de mes mots de passe retenus par Firefox … donc pas le choix. :)

votre avatar

Ah ?



Site de visioconf’ inclut Facebook ?



J’avais un problème similaire avec mes vieux, j’ai réussi à les migrer sous Pop!_OS (z’avait une hackintosh avant, mais vu la merde que c’était pour les MAJs, j’ai du les travailler de long mois pour migrer) et ils ont un problème avec l’espèce de visio de Facebook (je sais, je sais).



Le bousin te dit non compatible avec Firefox et qu’il faut prendre Chrome, j’ai donc essayé de ruser en spoofant l’user-agent mais ça n’a pas marché (du coup j’ai foutu Brave <img data-src=" /> )

votre avatar

ça sert à rien, copie possible. <img data-src=" />

votre avatar

Enfin, ENFIN ! Je peux faire le deuil d’Adobe Flash Player : nous pouvons exporter une vidéo dans une fenêtre à part, la déplacer sur un autre écran (pour continuer à lire la page où se trouve la vidéo par exemple), et la mettre en plein écran avec double clic. Comme avant. Sans devoir faire une nouvelle fenêtre du navigateur.

votre avatar

Perso, je suis passé sur KeepassXC (avec de la synchro à part). Solution parfaite.

votre avatar

Ça serait cool que le mot de passe maître puisse aussi servir à déverrouiller le profile Firefox. ^^

votre avatar

(Du moins une partie des infos du profile.)

votre avatar

Je conseille Bitwarden pour gérer les mots de passe.

Il y a un module pour Firefox.

Il est possible d’étendre les possibilités pour 10$ par an. C’est cahuètes !

votre avatar

Quand je voulais faire une visio sous Teams avec Firefox 74 ou 75 ça me disait d’utiliser Edge ou Chrome, du coup avec la 76 je ne sais pas si c’est toujours le cas

votre avatar

Fait un retour d’un test.

votre avatar

Je viens d’essayer sous la 76 mais ça fait pareil : “Pour démarrer une réunion dans un canal, téléchargez l’application de bureau ou utilisez un navigateur pris en charge comme Google Chrome ou Microsoft Edge.”



C’est à dire un retour de test ?

votre avatar







xillibit a écrit :



Je viens d’essayer sous la 76 mais ça fait pareil : “Pour démarrer une réunion dans un canal, téléchargez l’application de bureau ou utilisez un navigateur pris en charge comme Google Chrome ou Microsoft Edge.”



C’est à dire un retour de test ?





Essaye de changer le User-Agent de ton Firefox…


votre avatar

Microsoft qui pousse son navigateur….. no comment



Même Google avec Meet ne pousse pas Chrome, et ça fonctionne très bien avec Firefox.

votre avatar

J’ai toujours des bugs/instabilités avec Jistsi sous Linux ceci dit…

=&gt; Ma webcam externe n’est pas reconnue.

=&gt; Soucis de voix “robot” réguliers



Oublié d’ouvrir Chromium pour ne plus avoir de souci, pas plus tard que ce matin.

votre avatar

J’ai posé la question sur le twitter de microsoft teams ils me disent que c’est firefox qui ne supporte pas teams

votre avatar

Le problème a déjà été remonté ici :https://webcompat.com/issues/25070

votre avatar

Méchant Mozilla!!!



Par contre ils ont étayé sur quels point Firefox&nbsp; pêchaient?? Ils ont ouvert des bugs pour Mozilla apporte des corrections??

J’ai un peu peur que sur Twitter tu n’es que la réponse de commerciaux.



J’ai une recherche rapide et il semble que cela toucherait surtout les utilisateurs de Firefox sous linux:

techcommunity.microsoft.com Microsoft

techcommunity.microsoft.com Microsoft

Mais pas toujours:https://www.reddit.com/r/firefox/comments/dxlstk/microsoft_teams_wont_let_me_use…



J’ai trouvé 3 bugs:

https://bugzilla.mozilla.org/show_bug.cgi?id=1602693

https://bugzilla.mozilla.org/show_bug.cgi?id=1511948

https://bugzilla.mozilla.org/show_bug.cgi?id=1623340#c1

&nbsp;





La documentation indique que Safari, IE11 et Firefox ne sont pas pris en charge:

docs.microsoft.com MicrosoftLa différence entre Teams et Jitsi: Jitsi, il y avait des problèmes et ils ont cherchés à les régler, MS Teams …

votre avatar

Google affiche des pop-up et messages anxiogènes (“attention vous avez un navigateur obsolète”, etc) et sabote ses services en mettant quelques petits inconforts volontaires lorsque le user agent est différent de celui de Chrome.



Vivaldi avait fait une vidéo le démontrant, la même base (chromium) avec deux user-agent différents avait un rendu différent.

votre avatar
votre avatar







Soriatane a écrit :



Méchant Mozilla!!!



Par contre ils ont étayé sur quels point Firefox  pêchaient?? Ils ont ouvert des bugs pour Mozilla apporte des corrections??

J’ai un peu peur que sur Twitter tu n’es que la réponse de commerciaux.





J’aurais plus dit : Méchant Microsoft !!!! d’après ce que j’ai lu le code de Teams n’a pas été fait pour prendre en charge Firefox/Safari (les navigateurs qui ne sont pas basés sur le moteur de chrome) et Microsoft doivent modifier leur code dans Teams



J’ai demandé à Microsoft Teams qu’ils me disent ou ça péchait mais pas de réponse pour le moment


votre avatar

Intéressant ce projet. Mozilla arrivera t-il à faire comme Apple dont c’est clairement une copie??

https://www.zdnet.fr/actualites/wwdc-2019-apple-veut-jouer-les-tiers-de-confianc…

votre avatar

J’étais irronique sur Mozilla.



Je vois dans ton problème: le danger d’un seul moteur de rendu: MS fait juste l’effort de s’asurer que cela fonctionne avec Chrome mais laisse clairement tombé les autres navigateurs.



Jitsi, eux, avaient paré ou plus préssé en s’assurrant que cela marchait avec Chrome et ouvert des bugs chez Firefox. Lorsque cela a ralé un peu, ils se sont réattaqué le problème. Mais ils ont clairement pas autant de ressource que MS.

votre avatar

Confort VS sécurité : faut bien que la clé chiffrant les mots de passe vienne de quelque part. Si tu ne devais pas la taper directement ou la déchiffrer (par ex via ton mdp de session) à chaque fois que tu redémarres l’application et/ou ton OS c’est qu’elle serait stockée elle-même en clair sur le disque de ton ordi, ce qui n’est pas tip top côté sécu…



C’est malheureusement un incontournable de tout gestionnaire de mots de passe : fournir la clé au moins à chaque démarrage, pour s’assurer qu’elle n’est stockée en clair qu’en mémoire vive et jamais sur le disque.

Le bon côté c’est que ça fait régulièrement taper le mot de passe maître, qui devrait être unique et long, donc ça évite de l’oublier.

votre avatar

En même temps, comment s’assurer qu’ils ne sont pas stockés en clair dans les fichiers du navigateur (équivalent de motsdepasse.txt au final) sans les chiffrer et demander à chaque tentative d’accès le mot de passe pour les déchiffrer ?

Perso je ne vois pas, ou au mieux passer par le gestionnaires de clés de l’OS (keychain sur iOS, pas sûr pour les autres…) qui serait déverrouillé par le mot de passe de session au démarrage de l’ordi et resterait déverrouillé jusqu’à extinction ou mise en veille.



N’oublion pas que les navigateurs ont pendant des années stocké en clair (ou presque) les mots de passe sauvegardés ce qui leur a valu de grosses critiques, d’où ce durcissement.

votre avatar







BlueSquirrel a écrit :



Perso je ne vois pas, ou au mieux passer par le gestionnaires de clés de l’OS (keychain sur iOS, pas sûr pour les autres…) qui serait déverrouillé par le mot de passe de session au démarrage de l’ordi et resterait déverrouillé jusqu’à extinction ou mise en veille.







Bah, le mieux serait que l’OS offre seulement une double API (fournisseur + consommateur) pour la gestion des mdp.





  • Libre à chacun d’installer l’application de son choix (qui s’enregistre comme fournisseur) pour stocker les mdp: le truc pré-installé de l’OS, keypass, une appli google/mozilla, un service web…



  • Les browsers utilisent l’API consommateur de l’OS pour aller chercher des mdp.



    Comme ca, je peux configurer ce que je veux comme politique d’authentification dans mon appli fournisseur et je suis pas dépendant d’un truc pré-programmé dans firefox pour stocker mes mdp.




votre avatar

Oui bien entendu. :)



C’est juste que la gestion du mot de passe maitre de firefox est…. particulière.

Il me la demande bien souvent dans les 10-20 secondes après démarrage (bien souvent pendant que tu tapes ce qu’il faut pour accéder à ce que tu voulais accéder, du coup..)… mais parfois pas.

Il ne me la demande absolument pas pour utiliser mes identifiants de connexion sur les sites d’ailleurs, juste si je veux aller afficher en clair un mot de passe dans la liste des enregistrés et si je veux accéder à quoi que ce soit qui touche firefox Sync.



Je comprend tout à fait le pourquoi du comment de ce fonctionnement, mais c’est juste lourd à l’usage ahah… Pour ma part je n’utilises aucun mot de passe de moins de 16 caractères alors bon !

votre avatar

Pas très rassurant côté cohérence et transparence tout ça en effet.



C’est à cause de ce genre de comportement foireux qui te fait douter si finalement c’est chiffré ou pas, qui/quoi y a accès ou pas, que j’ai abandonné l’idée d’utiliser le gestionnaire de mdp intégré à un navigateur. (y en a dans ce thread qui maintiennent que c’est pas chiffré, même avec mdp maître =&gt; c’est pas clair)



A faire un bricolage qui fonctionne sans mdp maître mais en fait non mais en fait à moitié ça te demande pas toujours, je suis bien plus serein avec un gestionnaire dédié qui me demande mon mdp systématiquement quand je veux l’utiliser et qui a comme objectif premier la sécu :/

votre avatar







BlueSquirrel a écrit :



C’est à cause de ce genre de comportement foireux qui te fait douter si finalement c’est chiffré ou pas, qui/quoi y a accès ou pas, que j’ai abandonné l’idée d’utiliser le gestionnaire de mdp intégré à un navigateur. (y en a dans ce thread qui maintiennent que c’est pas chiffré, même avec mdp maître =&gt; c’est pas clair)







Ah non par contre personne ici n’a dit ça, c’était sur la solution sans mot de passe maitre, avec du coup la mise à jour qui peut faire demander le mot de passe de session. Apparemment sans mot de passe maitre Firefox rien n’est chiffré malgré ça.



Le souci d’incohérence malheureusement s’explique facilement : c’est à cause des cookies et paramètres d’auto-connexion sur certains sites, qui du coup n’utilisent pas du tout le gestionnaire de mot de passe pour permettre la connexion…

L’auto-complétion d’identifiants/mot de passe je suis pas assez au clair pour voir s’il demande à ce que le mot de passe maitre ait été tapé avant ou pas, mais j’ai l’impression que oui.



Dans l’absolu, il faudrait refaire une clean install (dégager toutes les connexions enregistrées), activer le mot de passe maitre, et systématiquement désactiver les connexions auto pour éviter toute intrusion sur le moindre compte via navigateur…


Firefox 76 renforce son Picture-in-Picture et la sécurité des mots de passe

Fermer