Firefox intègre un avertissement quand le mot de passe transite en HTTP
Les navigateurs tendent de plus en plus à intégrer des protections côté client contre les nombreuses failles de sécurité pouvant être exploitées sur le web.
En autres, on trouve la transmission d'informations confidentielles en clair sur le réseau. Il faut en effet savoir que lorsqu'un utilisateur s'authentifie sur un service web fourni en HTTP, ses identifiants transitent en clair sur le réseau car le protocole HTTP ne chiffre pas le contenu des informations échangées, il faut pour cela utiliser le protocole HTTPS.
Les utilisateurs connaissent maintenant bien le système du cadenas, vert la plupart du temps, ils connaîtront maintenant le cadenas rouge/ barré en rouge, qui s'affichera justement lorsqu'un identifiant, et plus précisément un mot de passe, sera envoyé via HTTP.
Un pas de plus dans le sens de la protection des utilisateurs et de leur sensibilisation. Également, on peut voir, au travers l'ajout de cette fonctionnalité, une manière d'inciter tous les développeurs à passer leurs services web en HTTPS plutôt que de laisser des situations dangereuses pour les utilisateurs : le fait de faire transiter leur mot de passe en clair sur le réseau.
Il est techniquement assez simple de récupérer des informations qui transitent en clair sur un réseau, c'est d'ailleurs pour cette raison que le protocole SSH a été amené à remplacer le telnet il y a de ça des dizaines d'années. Une attaque MITM (Man in the middle) est extrêmement rapide et facile à mettre en place lorsque l'on se trouve sur le même réseau (LAN) que la victime ciblée.
Aujourd'hui, cet avertissement quant à la transmission en clair du mot de passe n'est visible que dans les developpers tools de Firefox. Les webmaster devront donc s'attendre à recevoir les interrogations de leurs utilisateurs à propos de l'apparition de ce cadenas rouge sur leur site web.
Il faut savoir que le moteur de Firefox vérifiera la présence de plusieurs informations pour procéder à l'affichage de cadenas rouge :
- Est-ce qu'un input de type "password" est présent dans la page ?
- Est ce que l'utilisateur est actuellement sur une page récupérée en HTTP ? Si oui la page HTML a pu être modifiée par une attaque MITM dans le but de modifier la destination du formulaire
- Est ce que le champ "action" du formulaire HTTP pointe vers une page en HTTPS ?
Il y a quelque temps, nous pouvions observer l'implémentation dans Google Chrome d'une technologie visant à bloquer une grande partie des exploitations XSS, aujourd'hui c'est au tour de Firefox de faire un pas dans le sens de la protection des utilisateurs. A mon sens, la protection côté client reste la plus efficace car, comme l'interdiction d'accès en HTTPS à des sites utilisant des protocoles de chiffrement obsolètes, c'est l'expérience utilisateur qui est directement impactée, et cela fait bouger les développeurs/webmaster.
Cette nouvelle fonctionnalité devrait voir le jour dans la version 46 de la DevEdition de Firefox.
Si vous souhaitez plus d'informations sur cette nouvelle protection, je vous oriente vers l’article de blog de Mozilla : https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/