Discussion :

[Stéphane le calme]

Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés,
une représentation visuelle est déjà disponible sur la version Nightly

Pour pousser l’adoption du HTTPS, les grandes enseignes ont multiplié les stratagèmes. Nous pouvons noter parmi elles le fait qu’en août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Puis en décembre 2015, Google a décidé d’indexer les pages HTTPS par défaut.

Plus tard, en août 2017, Google a fait pression sur les développeurs en leur indiquant par courriel que les connexions de leurs sites HTTP qui collectent des mots de passe ou des cartes de crédit seront marquées comme non sécurisés sous la version 62 du navigateur Chrome.

Une stratégie qui a sans doute porté ses fruits puisque Google a assuré en août 2017 que 66 % du volume des pages Web chargées sur la version desktop de Chrome utilisent HTTPS, contre 80 % sur la version de Chrome sur Chrome OS.

Cette fois-ci, c’est au tour de Mozilla de prendre la même mesure. Dans la version 59 de son Firefox Nightly, l’éditeur a déjà déployé une option de configuration qui, une fois activée, permet d’avoir des indicateurs visuels qu’une page HTTP est marquée comme étant non sécurisée.

Dans sa forme actuelle, cet indicateur visuel est une ligne rouge qui traverse un verrou classique normalement utilisé pour signaler la présence de pages HTTPS.

« Le déploiement de HTTPS commence à prendre de l'ampleur », a noté Richard Barnes, un ancien ingénieur logiciel Mozilla, qui est désormais chez Cisco. « Nous devrions commencer à nous préparer à un changement qui vise à marquer comme non sécurisés les sites qui ne sont pas sécurisés (plutôt que de marquer comme étant sécurisés des sites qui sont sécurisés) ».

« Dans un premier temps, ajoutons un indicateur négatif pour tous les sites non sécurisés, bloqués par un pref qui est désactivé par défaut », a-t-il écrit dans une demande de fonctionnalité qu'il a faite l'année dernière.

Mozilla a approuvé sa requête, et Firefox Nightly 59 inclut désormais une préférence cachée nommée « security.insecure_connection_icon.enabled » qui, lorsqu'elle est activée, affichera l'icône de verrouillage barré sur toutes les pages HTTP.

Pour activer cette fonctionnalité, les utilisateurs doivent accéder à la section about: config settings, rechercher la préférence évoquée plus haut et double-cliquer pour l'activer.

Selon les données de Let’s Encrypt, 67 % des pages chargées sur Firefox en novembre 2017 se sont servi du protocole HTTPS, contre 45 % seulement en fin d’année dernière.

À l'heure actuelle, la plupart des experts en sécurité et des concepteurs d'interfaces estiment qu'il est préjudiciable qu'un site affiche un avertissement permanent lorsque les utilisateurs naviguent sur des pages HTTP, car cela pourrait entraîner une « fatigue des erreurs » qui rendrait les utilisateurs aveugles et ignorants.

Mais, comme l'a souligné Barnes, si l'adoption du protocole HTTPS augmente encore plus, un avertissement « non sécurisé » sur les sites non HTTPS pourrait devenir acceptable, car ces erreurs se manifesteront plus rarement qu'elles ne l'auraient été il y a quelques années.

Il est possible qu’avec ce changement dans l’utilisation des protocoles, la plupart des navigateurs décident d’adopter cette approche qui consiste à marquer comme non sécurisé les sites Web en HTTP.

Source : statistiques Let's Encrypt, BugZilla, BC

Et vous ?

Qu'en pensez-vous ?
Partagez-vous l'avis de Richard Barnes qui propose de marquer les sites « non sécurisés » ou êtes-vous d'accord avec les experts qui préfèrent voir marqués les sites sécurisés ? Pourquoi ?

[tes49]

Salut

Quoi que les sites sécurisés sont indiqués comme tel... les pages ayant des contenus mixtes sont indiqués... Indiquer un site non-sécurisé, est un peu gadget, je trouve !.. Pousser les responsables des sites (commerciaux entre autres) et forums à avoir une connexion sécurisé, est bien mieux !

Cela dit, toutes les pages où il y a une possibilité de connexion et qui ne sont pas sécurisées, ont déjà le cadenas barré... C'est arrivé avec Fx 51, me semble t-il.

Personnellement lors de recherches ou d'affichage de certains sites de ma réserve, je m’aperçois depuis quelque temps que bien des sites sont passés en https... ce qui me fait changer les adresses ou ajouter le "s" à mes marque-pages... Déjà effectué pas mal de changements.

Ce cadenas barré sur tous les sites non-sécurisés, n'empêchera pas grand monde d'aller sur ceux-ci... Moi le premier.

[liberal1]

Historiquement les protocoles d'Internet comme le Web, le email... n'avaient aucune forme de protection contre l'écoute de la ligne : aucun chiffrement d'aucune sorte.

Il faut replacer les choses dans leur contexte pour apprécier ces décisions de ne pas intégrer de cryptographie, ces technologies n'étant pas facilement utilisables à l'époque :

- limite de la puissance des ordinateurs personnels (sensible surtout pour les chiffrements asymétriques)
- limite de la PI ("propriété intellectuelle") sur certains systèmes de chiffrement comme RSA
- limite de la LOI sur les moyens autorisés (différente dans chaque pays donc problématique pour un standard)

J'espère que la compréhension de ces problèmes évitera que des "petits jeunes" ne critiquent trop durement les choix historiques. On entend trop souvent insinuer qu'il y a quelques années la notion de sécurité informatique n'avait pas été inventée!

Maintenant plus aucun de ces arguments n'est valable évidemment! Et cela depuis des années.

La protection des données personnelles lors de l'envoi par l'utilisateur et la réception devrait aller de soi.