Mozilla veut accélérer la sécurisation du web

Nicolas Furno |

Le futur du web sera sécurisé, ou ne sera pas. À terme, tous les sites devraient être accessibles grâce au protocole HTTPS et non plus le vénérable HTTP qui est beaucoup moins satisfaisant sur le plan de la sécurité. La présence du « S » dans l’URL certifie que le site que l’on visite n’est pas une copie malicieuse, mais ce protocole assure aussi que les communications entre votre ordinateur et le serveur qui héberge le site ne peuvent pas être interceptées.

HTTPS sécurise le web, comme ce cadenas vert affiché par bon nombre de navigateurs le met en avant. (CC BY Yuri Samoilov)

On a l’habitude de voir ces sites protégés sur les boutiques en ligne et tous les sites qui gèrent des données sensibles, comme votre numéro de carte bleue, ou encore vos avis d’imposition. Mais plusieurs acteurs majeurs mettent leurs poids dans la balance pour que tous les sites passent au HTTPS et que la sécurité devienne la norme. Google avait déjà indiqué que ses algorithmes favoriseront à terme les sites sécurisés, c’est au tour de la fondation Mozilla de mettre en avant ses arguments.

Et le créateur de Firefox n’y va pas de main-morte en annonçant, en fin de semaine dernière, son intention de déprécier le web non-sécurisé. Les sites qui utiliseront le protocole HTTP au lieu du HTTPS n’auront progressivement qu’une version inférieure du navigateur, avec moins de fonction et, à terme, plus d’accès du tout.

Naturellement, la fondation ne veut pas bloquer tous les sites non-sécurisés — qui restent encore ultra-majoritaires — du jour au lendemain. Comme elle l’indique dans une foire aux questions chargée de rassurer les webmasters, il ne s’agit à ce jour que d’une note d’intention. Pour forcer la cadence, Mozilla prévient qu’un jour, les sites sans protection seront défavorisés par rapport à ceux qui sont correctement configurés en HTTPS.

Le changement devrait être très progressif toutefois : la première étape, qui n’a même pas de date à ce stade, consistera à réserver certaines nouvelles fonctionnalités aux sites sécurisés. Dans un deuxième temps seulement, des fonctions existantes seront retirées pour les sites sans sécurité. La fondation Mozilla veut toutefois prendre son temps pour que le retrait de fonctions essentielles et qui pourraient bloquer certains sites ne se fasse que si le gain côté sécurité compense la disparition des fonctions en questions.

Malgré tout, le message est très clair : il est temps de passer au HTTPS. Jusque-là, ce processus est toutefois complexe et assez coûteux, même si Mozilla cite deux fournisseurs de certificats gratuits (WoSign et StartSSL). À l’heure actuelle, le plus simple est peut-être de reposer sur CloudFlare, service gratuit qui ajoute un intermédiaire à votre site pour le sécuriser. Les choses évoluent toutefois et le HTTPS devrait rapidement devenir une formalité gratuite.

La fondation Mozilla ne s’arrête pas à des consignes, d’ailleurs : elle finance aussi, avec d’autres acteurs majeures comme l’EFF ou Akamai, le projet Let’s Encrypt. À son lancement, toujours prévu pour le milieu de l’année, ce service permettra d’obtenir un certificat gratuit de façon automatisée.

Voilà qui devrait faciliter le déploiement de cette couche de sécurité, qui est parfois plus étendue qu’on ne pourrait le croire. Un exemple : le réseau de blogs WordPress.com qui héberge des dizaines et des dizaines de millions de sites (plus de 18 millions de blogs créés en 2014) est d’ores et déjà entièrement sécurisé.


avatar TristamRabbit | 

Mine de rien cela ressemble quand même à une atteinte à la neutralité du web.

avatar Ali Baba | 

@TristamRabbit :
Non. Rien a voir. D'abord ce n'est pas la neutralité du web, mais du réseau. Ensuite, ça ne concerne que les fournisseurs de bande passante. Un éditeur d'application est tout à fait en droit de gérer seulement certains protocoles, et heureusement. Sinon je vais me plaindre que mon logiciel FTP ne gère pas http.

avatar TristamRabbit | 

Oui, ce n'est pas la même chose que la question de la bande passante, mais dans l'article il est dit "Pour forcer la cadence, Mozilla prévient qu’un jour, les sites sans protection seront défavorisés par rapport à ceux qui sont correctement configurés en HTTPS." Et si certains sites sont défavorisés, cela crée une inégalité.
Et pour les anciens sites qui ne sont plus maintenus, mais restent accessibles ? "à terme, plus d’accès du tout." donc comme utilisateur, je n'aurai plus accès à certains sites.
Au nom de la protection des utilisateurs, on bride l'accès à une partie des contenus.
Il y a une différence fondamentale entre encourager et supporter le https, et brider l'accès à ceux qui ne l'ont pas.

avatar jerome74 | 

Ils pourraient commencer par mettre par défaut une alerte à l'utilisateur pour empêcher les sites non sécurisés de demander un mot de passe (MacG par exemple!). Votre voisin de bureau ne peut pas lire le mot de passe à l'écran par dessus votre épaule, par contre le mot de passe file en clair sur internet! Et il y a des chances que l'email + mot de passe utilisé sur un site soit le même que le mot de passe du compte email en question, puis que ce soit toujours le même email+mot de passe que l'utilisateur utilise sur tout un tas de sites qu'on peut retrouver en piratant son compte mail...

avatar iGeek07 | 

J'avais contacté MacG par mail pour savoir si c'était normal que la page d'authentification soit en http et non https, ils ont fait les morts : aucune réponse.

Je ne sais pas quelle quantité de mail la rédaction reçoit chaque jour, et peut être que je ne me rend pas compte, mais je trouve quand même ça un peu fort de ne pas communiquer quand il s'agit de questions techniques dans le genre.

Alors ça sait critiquer à la rédaction quand tel ou tel service ne s'adapte pas à des nouveautés (combien de fois ils ont râlé pour des applications qui ne s'adaptent pas assez vite aux écrans des iPhones 6 plus par exemple), mais quand il s'agit de passer une page d'authentification en https, là il n'y a plus personne. :(

avatar Oyoel | 
Je n'ai aucun souvenir d'avoir vu un mail de ce type arrivé dans nos boites... désolé, il ets peut-être parti dans les spams :( Nous travaillons sur le https au sein de nos sites, mais cela prend plus de temps que prévu.
avatar BeePotato | 

@ jerome74 : « Et il y a des chances que l'email + mot de passe utilisé sur un site soit le même que le mot de passe du compte email en question, puis que ce soit toujours le même email+mot de passe que l'utilisateur utilise sur tout un tas de sites qu'on peut retrouver en piratant son compte mail... »

Ah ben ça, quand on a la faiblesse de laisser à l’utilisateur la liberté de choisir son mot de passe, faut pas s’étonner que ça finisse mal. :-)

avatar narugi | 

Je suis pas d'accord. Mozilla fait ce qu'il faut pour que nos connexions soient sécurisées. La question de la neutralité ne se pose même pas car le standard existe depuis tant années déjà.

avatar Le docteur | 

Ah oui ? Et les sites privés. Que vont-ils devenir.
Voir Google parler de sécuriser le Web ça me fait mourir de rire. Et Mozilla, ça fait longtemps qu'ils me font rire, eux (très exactement depuis qu'ils ont dégagé l'équipe de la suite Mozilla et usés d'arguments fallacieux pour imposer Firefox).

avatar phoenixback | 

Houla ca sent la connivence avec big brother tout ca des que l'argent vient a manquer on voit vite les effets: web = danger.

avatar nayals | 

"le réseau de blogs WordPress.com qui héberge des dizaines et des dizaines de millions de site est d’ores et déjà entièrement sécurisé"

Hein ? Pourtant beaucoup de sites WordPress ne sont pas SSL ?! (le mien y compris)

avatar iPeP | 

Et tu es hébergé par Wordpress ? Si non, tu es dans mon cas, tu utilise Wordpress et tu es hébergé chez Gandi, OVH et autres.
Dans ce cas là, pour ne pas pénaliser les visiteurs, tu dois passer au tiroir caisse pour acheter un certificat annuel. Les certificats mutualisés sont très limités et pour peux que tu utilise un CDN pour accélérer la navigation (ce qui fait plaisir à tes visiteurs et évite de te faire pénaliser) ils sont incompatibles.
Le passage au HTTPS coûte une fortune aux petits sites et aux professionnels qui utilisent un blog qu'il tentent de maintenir tant bien que mal. Les pénaliser c'est la double peine : il faut plus de temps, plus de connaissances et plus de moyens. On va donc avoir un web sécurisé mais où seuls les plus riches auront les moyens de publier sans être pénalisés...

avatar PiRMeZuR | 

Pour un site qui ne fait que proposer du contenu type blog, site de recettes, etc... quel est l'intérêt concret ?

avatar sgasp | 

Aucun intérêt pour des sites qui ne font que fournir de l'info.
Exemples
Site d'association
Blog
Et j'en passe

Bref tous les sites utiles à une petite communauté et qui n'ont pas les moyens techniques financiers de faire du https.

Il faut qu'il s'achète un cerveau chez Mozilla.
Mais cela fait parler d'eux.

avatar jerome74 | 

Oui mais non! Sur le fond, c'est sûr, sécuriser un site de recettes de cuisine ne sert pas à grand chose... sauf si l'utilisateur doit / peut s'identifier avec un email + mot de passe pour envoyer des commentaires par exemple, car ça c'est une donnée qui doit absolument être chiffrée (beaucoup de gens utilisent le même mot de passe partout)

avatar Jamseth | 

Les vendeurs de certificats ssl ne doivent plus avoir que des moignons à force de se frotter les mains.

avatar BeePotato | 

C’est complètement débile. Ils sont de plus en plus tarés, chez Mozilla.

avatar Mathias10 | 

Ça existe encore Firefox?

En dehors des News sur un patron homophobe et chiffres en bernes je n'en entend plus du tout parlé. Aucun avantage comparé à Chrome ou Canary(Chrome sans mouchards).

avatar Orus | 

Voir certains ici, traiter Mozilla de débile... Pfff... Pathétique.
Le jour ou Apple va faire la même chose, bien évidement cela va être formidable pour eux...

avatar BeePotato | 

@ Orus : Je n’ai vu ici personne traiter Mozilla de débile.
Mais comme j’ai utilisé le terme de « tarés », j’imagine que je fais partie de ceux visés par ta remarque et je me permets donc d’y répondre : non, si Apple fait un jour la même chose, je ne trouverai évidemment pas ça formidable. Ce sera tout aussi débile.

Désolé de briser ton rêve dans lequel on ne peut apparemment qu’être un fanboy lobotomisé si on trouve à redire à cette approche. ;-)

avatar roccoyop | 

Ayant un NAS, j'ai voulu me créer un certificat authentifié. Avant de me lancé, j'ai mis quand même 5 jours pour tout comprendre, et même en le faisant je ne savais pas ce que je faisais. Mais j'ai quand même réussi et je ne suis pas pressé de renouveler le certificat l'année prochaine.

Donc pour un néophyte c'est pas simple. Vivement une solution simple et gratuite en même temps !

avatar expertpack | 

Mozilla cherche des alternatives a la chute de son navigateur libre face a la concurrence
Le 'S' de http ne garanti plus rien, qu'on se le dise

avatar AirForceTwo | 

C'est n'importe quoi. Actuellement, pour être compatible avec l'ensemble des navigateurs du marché, il faut une adresse IP dédiée par domaine ou sous domaine protégé par SSL.

Manque de chance, en IPv4, il n'y aura pas assez d'IP pour tout le monde.

CONNEXION UTILISATEUR