Firefox, le navigateur gratuit de la fondation Mozilla a été mis à jour et propose désormais une option appelée « HTTPS-Uniquement », qui permet aux internautes de se connecter uniquement aux sites avec le protocole HTTPS.

La sécurité pour tous

Le fonctionnement du protocole HTTPS a déjà été expliqué dans un article dédié[1] et en vidéo[2]. HTTPS permet d’apporter la garantie aux internautes que les pages visitées et les informations envoyées ne seront pas consultées ou modifiées par un tiers.

Même si plus de 80 % des sites Internet sont désormais sécurisés, certains éditeurs n’ont toujours pas jugé utiles de proposer une version sécurisée de leur site.

En 2015, 30 % des sites sont sécurisés. En 2017, 50 %. En 2018, 70 %. En 2020, 80 %
Évolution du nombre de sites Internet visités utilisant HTTPS (source : Let’s Encrypt, Firefox Telemetry)

Les acteurs majeurs d’Internet bataillent depuis des années pour forcer ces éditeurs à sécuriser leurs sites avec HTTPS et pour sensibiliser les utilisateurs. Dès 2014, Google a annoncé[3] que son moteur de recherches favoriserait les sites sécurisés en espérant faire changer les éditeurs, soucieux d’être bien référencés. Plus tard, les principaux navigateurs ont commencé à sensibiliser les utilisateurs. Mozilla a montré l’exemple en annonçant[4] en janvier 2017 que Firefox marquerait les sites utilisant le protocole HTTP comme non sécurisés. Google a suivi en annonçant[5] en février 2018 réaliser la même chose pour son navigateur Chrome et Apple a fait de même en novembre 2018 pour Safari[6].

Le navigateur affiche un cadenas barré a côté de l’adresse du site Internet de l’Assemblée Nationale et un texte en rouge indique « Connection not secure »
Exemple d’un site marqué comme non sécurisé sur Firefox

Qu’une option pour le moment

Grâce à cette nouvelle fonctionnalité, Firefox permet désormais aux utilisateurs de ne plus prendre de risques en cliquant par mégarde sur un lien qui l’amènerait vers une page non-sécurisée ou en chargeant, sans le savoir, un élément non sécurisé dans l’une page des pages qu’il visite.

Un titre affiche « Mode HTTPS uniquement » et trois choix sont proposés : « Activer le mode HTTPS uniquement dans toutes les fenêtres », « Activer le mode HTTPS uniquement dans les fenêtres privées seulement » et « Ne pas activer le mode HTTPS uniquement »
Option HTTPS-Uniquement activée sur Firefox

Cette fonctionnalité n’est qu’une option que l’utilisateur doit activer manuellement, mais les éditeurs sont prévenus : bientôt les navigateurs arrêteront de faire preuve de tant d’indulgence et décideront simplement d’arrêter de charger les pages non sécurisées.

Note : l’option HTTPS-Uniquement de Firefox est disponible depuis la version 83 et a été annoncée sur leur blog[7]. Firefox peut être téléchargé gratuitement sur le site officiel de l’éditeur

Note 2 : Google a réaffirmé[8], en avril 2021, que HTTPS faisait partie des éléments utilisés pour juger la qualité d’une page Web et déterminer sa position dans les résultats des recherches de son moteur.

Notes et références

  1. Le fonctionnement du protocole HTTP a été expliqué dans un article dédié. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS ».
  2. La façon dont les internautes peuvent être victimes d’un site non sécurisé avec HTTP est expliqué en vidéo. Voir « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  3. Google favorise, en 2014, les sites implémentant le protocole HTTPS (source : Google, août 2014, en anglais).
  4. Mozilla marque les sites n’utilisant pas HTTPS comme non sécurisés sur Firefox (source : Mozilla, janvier 2017, en anglais).
  5. Google marque les sites n’utilisant pas HTTPS comme non sécurisés sur Chrome (source : Chromium, février 2018, en anglais).
  6. Apple marque les sites n’utilisant pas HTTPS comme non sécurisés sur Safari (source : WebKit, novembre 2018, en anglais).
  7. Mozilla présente l’option HTTPS-only dans la version 83 de son navigateur (source : Mozilla, novembre 2020, en anglais).
  8. Google ré-affirme que HTTPS est un des critères utilisés par son moteur de recherches (source : Google, en anglais).