Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés
Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés,
une représentation visuelle est déjà disponible sur la version Nightly
Pour pousser l’adoption du HTTPS, les grandes enseignes ont multiplié les stratagèmes. Nous pouvons noter parmi elles le fait qu’en août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Puis en décembre 2015, Google a décidé d’indexer les pages HTTPS par défaut.
Plus tard, en août 2017, Google a fait pression sur les développeurs en leur indiquant par courriel que les connexions de leurs sites HTTP qui collectent des mots de passe ou des cartes de crédit seront marquées comme non sécurisés sous la version 62 du navigateur Chrome.
Une stratégie qui a sans doute porté ses fruits puisque Google a assuré en août 2017 que 66 % du volume des pages Web chargées sur la version desktop de Chrome utilisent HTTPS, contre 80 % sur la version de Chrome sur Chrome OS.
Cette fois-ci, c’est au tour de Mozilla de prendre la même mesure. Dans la version 59 de son Firefox Nightly, l’éditeur a déjà déployé une option de configuration qui, une fois activée, permet d’avoir des indicateurs visuels qu’une page HTTP est marquée comme étant non sécurisée.
Dans sa forme actuelle, cet indicateur visuel est une ligne rouge qui traverse un verrou classique normalement utilisé pour signaler la présence de pages HTTPS.
« Le déploiement de HTTPS commence à prendre de l'ampleur », a noté Richard Barnes, un ancien ingénieur logiciel Mozilla, qui est désormais chez Cisco. « Nous devrions commencer à nous préparer à un changement qui vise à marquer comme non sécurisés les sites qui ne sont pas sécurisés (plutôt que de marquer comme étant sécurisés des sites qui sont sécurisés) ».
« Dans un premier temps, ajoutons un indicateur négatif pour tous les sites non sécurisés, bloqués par un pref qui est désactivé par défaut », a-t-il écrit dans une demande de fonctionnalité qu'il a faite l'année dernière.
Mozilla a approuvé sa requête, et Firefox Nightly 59 inclut désormais une préférence cachée nommée « security.insecure_connection_icon.enabled » qui, lorsqu'elle est activée, affichera l'icône de verrouillage barré sur toutes les pages HTTP.
Pour activer cette fonctionnalité, les utilisateurs doivent accéder à la section about: config settings, rechercher la préférence évoquée plus haut et double-cliquer pour l'activer.
Selon les données de Let’s Encrypt, 67 % des pages chargées sur Firefox en novembre 2017 se sont servi du protocole HTTPS, contre 45 % seulement en fin d’année dernière.
À l'heure actuelle, la plupart des experts en sécurité et des concepteurs d'interfaces estiment qu'il est préjudiciable qu'un site affiche un avertissement permanent lorsque les utilisateurs naviguent sur des pages HTTP, car cela pourrait entraîner une « fatigue des erreurs » qui rendrait les utilisateurs aveugles et ignorants.
Mais, comme l'a souligné Barnes, si l'adoption du protocole HTTPS augmente encore plus, un avertissement « non sécurisé » sur les sites non HTTPS pourrait devenir acceptable, car ces erreurs se manifesteront plus rarement qu'elles ne l'auraient été il y a quelques années.
Il est possible qu’avec ce changement dans l’utilisation des protocoles, la plupart des navigateurs décident d’adopter cette approche qui consiste à marquer comme non sécurisé les sites Web en HTTP.
Source : statistiques Let's Encrypt, BugZilla, BC
Et vous ?
:fleche: Qu'en pensez-vous ?
:fleche: Partagez-vous l'avis de Richard Barnes qui propose de marquer les sites « non sécurisés » ou êtes-vous d'accord avec les experts qui préfèrent voir marqués les sites sécurisés ? Pourquoi ?
