Firefox, le navigateur gratuit de la fondation Mozilla, continue d’être précurseur en matière de sécurité. Dans la dernière version de son navigateur, une option appelée HTTPS-Uniquement permet aux utilisateurs de se connecter seulement aux sites sécurisés par le protocole HTTPS.

La sécurité pour tous

On a déjà beaucoup parlé de l’importance de HTTPS, en expliquant notamment son fonctionnement, ou en expliquant la façon dont des personnes malintentionnées pouvaient abuser les utilisateurs qui ne visitent pas des sites sécurisés. J’espére que vous êtes maintenant convaincus que la sécurité n’est pas un luxe réservé aux autres mais une nécessité pour le bien de tous : avoir la garantie que les informations ne sont pas lues, pas modifiées, et proviennent de la bonne personne devrait être la norme pour que tout le monde puisse surfer en toute sécurité.

Même si plus de 80 % des sites Internet sont désormais sécurisés, il est assez incroyable de constater que certains éditeurs, 20 ans après que la spécification HTTPS[1] soit écrite, n’ont toujours pas jugé utiles de proposer une version sécurisée de leur site.

En 2015, 30 % des sites sont sécurisés. En 2017, 50 %. En 2018, 70 %. En 2020, 80 %
Évolution du nombre de sites Internet visités utilisant HTTPS (source : Let’s Encrypt, Firefox Telemetry)

C’est pourquoi j’alerte ces éditeurs, comme je l’ai déjà fait pour l’Assemblée Nationale[2] ou le Sénat[3].

Inciter tous les acteurs à favoriser HTTPS

Les acteurs majeurs d’Internet bataillent depuis des années pour forcer les éditeurs à sécuriser leurs sites et pour sensibiliser les utilisateurs.

Dès 2014, Google a annoncé[4] que son moteur de recherches favoriserait les sites sécurisés en espérant faire changer les éditeurs, soucieux d’être bien référencés.

Plus tard, les principaux navigateurs ont commencé à sensibiliser les utilisateurs. Mozilla a montré l’exemple en annonçant[5] en janvier 2017 que Firefox marquerait les sites utilisant le protocole HTTP comme non sécurisés. Google a suivi en annonçant[6] en février 2018 réaliser la même chose pour son navigateur Chrome et Apple a fait de même en novembre 2018 pour Safari[7].

Le navigateur affiche un cadenas barré a côté de l’adresse du site Internet de l’Assemblée Nationale et un texte en rouge indique « Connection not secure »
Exemple d’un site marqué comme non sécurisé sur Firefox

Qu’une option pour le moment

Grâce à cette nouvelle fonctionnalité, Firefox continue son combat vers un Web plus sécurisé et permet désormais aux utilisateurs de ne plus prendre de risques en cliquant par mégarde sur un lien qui l’amènerait vers une page non-sécurisée ou en chargeant, sans le savoir, un élément non sécurisé dans l’une page des pages qu’il visite.

Un titre affiche « Mode HTTPS uniquement » et trois choix sont proposés : « Activer le mode HTTPS uniquement dans toutes les fenêtres », « Activer le mode HTTPS uniquement dans les fenêtres privées seulement » et « Ne pas activer le mode HTTPS uniquement »
Option HTTPS-Uniquement activée sur Firefox

Cette fonctionnalité n’est qu’une option que l’utilisateur doit activer manuellement mais que les éditeurs soient prévenus : bientôt les navigateurs arrêteront de faire preuve de tant d’indulgence et décideront simplement d’arrêter de charger les pages non sécurisées.

Note : l’option HTTPS-Uniquement de Firefox est disponible depuis la version 83 et a été annoncée sur leur blog[8]. Firefox peut être téléchargé gratuitement sur le site officiel de l’éditeur

Note 2 : Google a réaffirmé[9], en avril 2021, que HTTPS faisait partie des éléments utilisés pour juger la qualité d’une page Web et déterminer sa position dans les résultats des recherches de son moteur.

Notes et références

  1. Spécifications HTTPS : HTTP Over TLS, RFC2818 (2000).
  2. L’Assemblée Nationale a été alertée, car des pages de son site Internet n’étaient pas sécurisées par HTTPS. Voir « Les techniques des hackers pour trouver les mots de passe et les façons de s’en protéger ».
  3. Le Sénat a été alerté, car des pages de son site Internet n’étaient pas sécurisées par HTTPS. Voir « Ne stockez pas les mots de passe de vos utilisateurs en clair ».
  4. Google favorise, en 2014, les sites implémentant le protocole HTTPS (source : googleblog.com, en anglais).
  5. Mozilla marque les sites n’utilisant pas HTTPS comme non sécurisés sur Firefox (source : mozilla.org, en anglais).
  6. Google marque les sites n’utilisant pas HTTPS comme non sécurisés sur Chrome (source : chromium.org, en anglais).
  7. Apple marque les sites n’utilisant pas HTTPS comme non sécurisés sur Safari (source : webkit.org, en anglais).
  8. Mozilla présente l’option HTTPS-only dans la version 83 de son navigateur (source : mozilla.org, en anglais).
  9. Google ré-affirme que HTTPS est un des critères utilisés par son moteur de recherches (source : google.com, en anglais).