IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Firefox Discussion :

Firefox fait un-sans faute lors d'un audit réalisé par l'agence allemande de sécurité informatique


Sujet :

Firefox

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 383
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 383
    Points : 196 422
    Points
    196 422
    Par défaut Firefox fait un-sans faute lors d'un audit réalisé par l'agence allemande de sécurité informatique
    Firefox fait un sans-faute lors d'un audit réalisé par l'agence allemande de sécurité informatique,
    qui le recommande comme étant le navigateur le plus sécurisé

    Firefox est le seul navigateur à avoir obtenu un sans-faute lors d'un récent audit réalisé par l'agence allemande de sécurité informatique - l'Office fédéral allemand de la sécurité de l'information (ou le Bundesamt für Sicherheit in der Informationstechnik - BSI). La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n'incluaient pas d'autres navigateurs tels que Safari, Brave, Opera ou Vivaldi.

    L'audit a été effectué à l'aide de règles détaillées dans une directive pour les « navigateurs sécurisés modernes » publiée par le BSI le mois dernier, en septembre 2019.

    La BSI utilise normalement ce guide pour conseiller les agences gouvernementales et les entreprises du secteur privé sur les navigateurs sécurisés. L'agence allemande de cybersécurité a publié une première directive relative aux navigateurs sécurisés en 2017, mais a revu et mis à jour les spécifications au cours de l'été.

    La BSI a mis à jour son guide afin de prendre en compte les mesures de sécurité améliorées ajoutées aux navigateurs modernes, telles que HSTS, SRI, CSP 2.0, la gestion de la télémétrie et des mécanismes améliorés de gestion des certificats.Selon le nouveau guide de la BSI, pour être considéré comme « sécurisé », un navigateur moderne doit satisfaire à ces exigences minimales :
    • doit prendre en charge TLS ;
    • doit avoir une liste de certificats de confiance ;
    • doit prendre en charge les certificats de validation étendue (EV) ;
    • doit vérifier les certificats chargés par rapport à une liste de révocation de certification (CRL) ou à un protocole OCSP (Online Certificate Status Protocol) ;
    • le navigateur doit utiliser des icônes ou des couleurs vives pour indiquer le moment où les communications avec un serveur distant sont chiffrées ou en texte clair ;
    • les connexions aux sites Web distants exécutés avec des certificats arrivés à expiration ne doivent être autorisées qu'après accord de l'utilisateur ;
    • doit prendre en charge la sécurité du transport strict HTTP (HSTS) (RFC 6797) ;
    • doit prendre en charge la politique de même origine (SOP) ;
    • doit prendre en charge la politique de sécurité du contenu (CSP) 2.0 ;
    • doit prendre en charge l'intégrité des sous-ressources (SRI) ;
    • doit prendre en charge les mises à jour automatiques ;
    • doit prendre en charge un mécanisme de mise à jour distinct pour les composants et extensions cruciaux du navigateur ;
    • les mises à jour du navigateur doivent être signées et vérifiables ;
    • le gestionnaire de mots de passe du navigateur doit stocker les mots de passe sous une forme chiffrée ;
    • l'accès au coffre-fort de mots de passe intégré au navigateur ne doit être autorisé qu'après que l'utilisateur a entré un mot de passe principal ;
    • l'utilisateur doit pouvoir supprimer les mots de passe du gestionnaire de mots de passe du navigateur ;
    • les utilisateurs doivent pouvoir bloquer ou supprimer les fichiers témoins ;
    • les utilisateurs doivent pouvoir bloquer ou supprimer l'historique de saisie semi-automatique ;
    • les utilisateurs doivent pouvoir bloquer ou supprimer l'historique de navigation ;
    • les administrateurs d'organisation doivent être en mesure de configurer ou d'empêcher les navigateurs d'envoyer des données de télémétrie / d'utilisation ;
    • les navigateurs doivent prendre en charge un mécanisme permettant de rechercher des contenus / URL nuisibles ;
    • les navigateurs devraient permettre aux organisations d’exécuter des listes noires d’URL stockées localement ;
    • doit prendre en charge une section de paramètres dans laquelle les utilisateurs peuvent activer / désactiver les plug-ins, les extensions ou JavaScript ;
    • les navigateurs doivent pouvoir importer des paramètres de configuration créés de manière centralisée, idéal pour les déploiements d'entreprise à grande échelle ;
    • doit permettre aux administrateurs de désactiver les fonctionnalités de synchronisation de profil dans le cloud ;
    • doit être exécuté après son initialisation avec des droits minimaux sur le système d'exploitation ;
    • doit prendre en charge le sandboxing. Tous les composants du navigateur doivent être isolés les uns des autres et du système d'exploitation. La communication entre les composants isolés ne peut s'effectuer que via des interfaces définies. L'accès direct aux ressources de composants isolés ne doit pas être possible ;
    • les pages Web doivent être isolées les unes des autres, idéalement sous la forme de processus autonomes. L'isolation au niveau des threads est également autorisée ;
    • les navigateurs doivent être codés à l'aide de langages de programmation prenant en charge les protections de mémoire de pile et de tas ;
    • le fournisseur de navigateur doit fournir des mises à jour de sécurité au plus tard 21 jours après la publication d'une faille de sécurité. Si le fournisseur de navigateur principal ne fournit pas de mise à jour de sécurité, les entreprises doivent passer à un nouveau navigateur ;
    • les navigateurs doivent utiliser des protections de la mémoire du système d'exploitation telles que la randomisation du format d'espace d'adresse ou la prévention de l'exécution des données (DEP) ;
    • les administrateurs d'organisation doivent être en mesure de réglementer ou de bloquer l'installation de modules complémentaires / extensions non autorisés.


    Nom : firefox.png
Affichages : 196043
Taille : 14,7 Ko

    Selon la BSI, Firefox est le seul navigateur à prendre en charge toutes les exigences ci-dessus. Les domaines dans lesquels d'autres navigateurs ont échoué sont les suivants:
    • manque de prise en charge d'un mécanisme de mot de passe principal (Chrome, IE, Edge)
    • pas de mécanisme de mise à jour intégré (IE)
    • aucune option pour bloquer la collecte de télémétrie (Chrome, IE, Edge)
    • pas de support SOP (Same Origin Policy) (IE)
    • pas de support CSP (Content Security Policy) (IE)
    • pas de support SRI (Subresource Integrity) (IE)
    • pas de support pour les profils de navigateur, différentes configurations (IE, Edge)
    • manque de transparence organisationnelle (Chrome, IE, Edge)

    Source : BSI

    Et vous ?

    Que pensez-vous de la liste des exigences minimales requises dressée par la BSI ?
    Êtes-vous surpris des résultats ?
    Quel navigateur utilisé vous (au bureau, à domicile) ?
    Qu'est-ce qui vous a principalement orienté vers ce choix ?
    Cet audit est-il susceptible de vous faire vous tourner vers Firefox ?

    Voir aussi :

    Cloudflare, Google Chrome et Firefox ajoutent le support HTTP/3, donnant ainsi un coup de pouce dans l'adoption rapide de la prochaine version du protocole HTTP
    Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant, car c'est très mauvais pour nous tous, à bien des égards
    Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
    Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut et propose le blocage de la lecture automatique des médias
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Femme Profil pro
    Inscrit en
    Juillet 2012
    Messages
    263
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Italie

    Informations forums :
    Inscription : Juillet 2012
    Messages : 263
    Points : 998
    Points
    998
    Par défaut
    Olala super Firefox!

  3. #3
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2008
    Messages : 341
    Points : 1 515
    Points
    1 515
    Par défaut
    Et le DOH avec Cloudflare en serveur par défaut on en parle?
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  4. #4
    Membre averti
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Août 2014
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Août 2014
    Messages : 257
    Points : 395
    Points
    395
    Par défaut
    Il est dommage d'avoir un début disant que Firefox est le seul à avoir eu un sans faute [...] alors qu'au final certains navigateurs n'ont pas été testé.
    Je ne dis pas que cela aurait changé la finalité, mais je trouve que ca amoindri l'impact de l'étude.

    (L'utilisateur de vivaldi est blessé dans son petit cœur...)

  5. #5
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par eldran64 Voir le message
    Et le DOH avec Netscape en serveur par défaut on en parle?
    Cloudflare plutôt, non ?

    Dans tout les cas, cela n'a aucun impact sur l'audit, car le DOH n'est pas encore à l'ordre du jour dans Firefox (et encore plus sur la version testée - 68 ESR)

  6. #6
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2008
    Messages : 341
    Points : 1 515
    Points
    1 515
    Par défaut
    Citation Envoyé par Volgaan Voir le message
    Cloudflare plutôt, non ?

    Dans tout les cas, cela n'a aucun impact sur l'audit, car le DOH n'est pas encore à l'ordre du jour dans Firefox (et encore plus sur la version testée - 68 ESR)
    Exact c'est Cloudflare, j'ai corrigé mon post.
    Et pour le DOH ça va finir par être mis par défaut à terme.
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    Le DoH augmente la sécurité dans tous les cas, il s'agit d'encrypter une comunication. La polémique est sur le serveur de DNS choisi par défaut (celui de Firefox) et sur le fait que peu de DNS supportent encore le DoH donc cela augmente l'obligation d'aller vers les rares qui l'implémentent. Mais dans tous les cas les grandes entreprises et services nationaux sont configurés pour aller vers un DNS maison, comme c'est le cas dans cette étude.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  8. #8
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par abriotde Voir le message
    Le DoH augmente la sécurité dans tous les cas, il s'agit d'encrypter une comunication. La polémique est sur le serveur de DNS choisi par défaut (celui de Firefox) et sur le fait que peu de DNS supportent encore le DoH donc cela augmente l'obligation d'aller vers les rares qui l'implémentent. Mais dans tous les cas les grandes entreprises et services nationaux sont configurés pour aller vers un DNS maison, comme c'est le cas dans cette étude.
    Sur le papier, c'est alléchant, mais il y a encore un point peu clair pour moi concernant cette fonctionnalité : comment cela se comportera-t-il avec les serveurs DNS privés (internes) ? Par exemple, avec une entreprise ou un particulier qui a mis en place sont propre DNS et gère des entrées propres à son Intranet.

    Quid aussi du fichier HOSTS ? Tout sera-t-il court-circuité par le DOH ?

  9. #9
    Membre actif
    Profil pro
    developpeur
    Inscrit en
    Septembre 2010
    Messages
    219
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : Septembre 2010
    Messages : 219
    Points : 204
    Points
    204
    Par défaut firefok
    Il réagit bizarrement avec certaines vidéos sur youtube, je n'aime pas.
    Chrome fonctionne mieux pour cela.

  10. #10
    Membre expérimenté
    Profil pro
    MOA
    Inscrit en
    Décembre 2002
    Messages
    1 006
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : MOA

    Informations forums :
    Inscription : Décembre 2002
    Messages : 1 006
    Points : 1 741
    Points
    1 741
    Par défaut
    Kapeutini, aurais tu quelques exemple de vidéo un peu bizzare sous firefox?

  11. #11
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2016
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2016
    Messages : 2
    Points : 3
    Points
    3
    Par défaut congrats firefox
    J'aime beaucoup firefox car il intègre plusieurs paramètres
    c'est encore cool

  12. #12
    Membre éclairé
    Homme Profil pro
    Développeur Web
    Inscrit en
    Janvier 2016
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Janvier 2016
    Messages : 188
    Points : 818
    Points
    818
    Par défaut
    Citation Envoyé par Kapeutini Voir le message
    Il réagit bizarrement avec certaines vidéos sur youtube, je n'aime pas.
    Chrome fonctionne mieux pour cela.
    Parce que Google possède YouTube et oblige les développeurs de YouTube a faire du sabotage de sorte que YouTube fonctionne mieux sous Chrome ?
    https://www.developpez.com/actu/5066...son-OS-mobile/
    https://www.developpez.com/actu/2166...Google-Chrome/
    https://www.developpez.com/actu/2383...utot-un-bogue/

  13. #13
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 736
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 736
    Points : 52 447
    Points
    52 447
    Billets dans le blog
    5
    Par défaut
    Il faudrait quand même qu'ils stabilisent Firefox sous Windows, parce que avec les bugs qui, depuis des années figent Firefox et le rende inutilisable, je voit pas comment je pourrais continuer à l'utiliser !

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

Discussions similaires

  1. [AJAX] [firefox]execution stoppe sans erreur oO
    Par djynwk dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 11/12/2007, 21h17
  2. FireFox fait des pointillés "moche" sur menu
    Par nahkira dans le forum Balisage (X)HTML et validation W3C
    Réponses: 7
    Dernier message: 05/11/2007, 18h11
  3. Inclure un fond musical sans rechargement lors d'un changement de page
    Par Him dans le forum Balisage (X)HTML et validation W3C
    Réponses: 4
    Dernier message: 02/08/2006, 19h20
  4. Réponses: 2
    Dernier message: 18/03/2005, 14h00

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo