Firefox intègre un avertissement quand le mot de passe transite en HTTP

Les navigateurs tendent de plus en plus à intégrer des protections côté client contre les nombreuses failles de sécurité pouvant être exploitées sur le web.

En autres, on trouve la transmission d'informations confidentielles en clair sur le réseau. Il faut en effet savoir que lorsqu'un utilisateur s'authentifie sur un service web fourni en HTTP, ses identifiants transitent en clair sur le réseau car le protocole HTTP ne chiffre pas le contenu des informations échangées, il faut pour cela utiliser le protocole HTTPS.

Les utilisateurs connaissent maintenant bien le système du cadenas, vert la plupart du temps, ils connaîtront maintenant le cadenas rouge/ barré en rouge, qui s'affichera justement lorsqu'un identifiant, et plus précisément un mot de passe, sera envoyé via HTTP.

struckthrough-lock-before-after
Un pas de plus dans le sens de la protection des utilisateurs et de leur sensibilisation. Également, on peut voir, au travers l'ajout de cette fonctionnalité, une manière d'inciter tous les développeurs à passer leurs services web en HTTPS plutôt que de laisser des situations dangereuses pour les utilisateurs : le fait de faire transiter leur mot de passe en clair sur le réseau.

Il est techniquement assez simple de récupérer des informations qui transitent en clair sur un réseau, c'est d'ailleurs pour cette raison que le protocole SSH a été amené à remplacer le telnet il y a de ça des dizaines d'années. Une attaque MITM (Man in the middle) est extrêmement rapide et facile à mettre en place lorsque l'on se trouve sur le même réseau (LAN) que la victime ciblée.

Aujourd'hui, cet avertissement quant à la transmission en clair du mot de passe n'est visible que dans les developpers tools de Firefox. Les webmaster devront donc s'attendre à recevoir les interrogations de leurs utilisateurs à propos de l'apparition de ce cadenas rouge sur leur site web.

Il faut savoir que le moteur de Firefox vérifiera la présence de plusieurs informations pour procéder à l'affichage de cadenas rouge :

  • Est-ce qu'un input de type "password" est présent dans la page ?
  • Est ce que l'utilisateur est actuellement sur une page récupérée en HTTP ? Si oui la page HTML a pu être modifiée par une attaque MITM dans le but de modifier la destination du formulaire
  • Est ce que le champ "action" du formulaire HTTP pointe vers une page en HTTPS ?

Il y a quelque temps, nous pouvions observer l'implémentation dans Google Chrome d'une technologie visant à bloquer une grande partie des exploitations XSS, aujourd'hui c'est au tour de Firefox de faire un pas dans le sens de la protection des utilisateurs. A mon sens, la protection côté client reste la plus efficace car, comme l'interdiction d'accès en HTTPS à des sites utilisant des protocoles de chiffrement obsolètes, c'est l'expérience utilisateur qui est directement impactée, et cela fait bouger les développeurs/webmaster.

Cette nouvelle fonctionnalité devrait voir le jour dans la version 46 de la DevEdition de Firefox.

Si vous souhaitez plus d'informations sur cette nouvelle protection, je vous oriente vers l’article de blog de Mozilla : https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Co-fondateur d'IT-Connect.fr. Auditeur en sécurité des systèmes d'information chez Amossys

    mickael has 502 posts and counting.See all posts by mickael

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.