En effet, sans une connexion chiffrée avec le protocole HTTPS, des tiers malveillants pourraient intercepter les identifiants et autres informations sensibles qui sont envoyés ou reçus sur les sites non sécurisés.
Cette mesure est donc effective sur Chrome depuis janvier, mais également sur Firefox.
Le chercheur en sécurité Troy Hunt s’est intéressé de près à ce processus. « Tout d'abord, les avertissements du navigateur concernant une connexion non sécurisée se déclenchent uniquement lorsqu'il existe des entrées de type "mot de passe"», a-t-il fait remarquer. Une fois cette observation faite, il a été en mesure d’effectuer un petit tour qui lui a permis de contourner cette contrainte. Le processus est simple : faire en sorte que l’entrée à fournir ressemble à une entrée de type mot de passe, sans pour autant utiliser ce type. »
Il a proposé le code suivant :
Code : | Sélectionner tout |
<input id="pw" placeholder="Password" name="pw" maxlength="100" class="textbox" style="width:230px;margin-bottom:5px;" onclick="javascript:this.placeholder='';" type="textbox">
Code : | Sélectionner tout |
1 2 3 4 5 | <script> jQuery(document).on('click', '#pw', function() { jQuery(this).addClass('text-security'); }) </script> |
« Une fois rendus ici, nous avons en face de nous une toute nouvelle classe. De plus, bien sûr, l'événement onclick sur la boîte de saisie elle-même définit le texte d'espace réservé à une chaîne vide. Alors, que fait la classe? Elle va changer simplement la police :
Code : | Sélectionner tout |
1 2 3 | .text-security { font-family: 'text-security-disc'; } |
Il s’agit là d’un procédé que certains développeurs ont utilisé pour « corriger » le fait que leurs sites apparaissaient avec la mention « non sécurisé ». Dans son billet, Troy évoque plusieurs entreprises qui se sont retrouvées dans le cas où le navigateur marque leur site comme étant « non sécurisé » chez leurs clients.
L’une d’elles par exemple, Oil and Gas International, a fait parvenir la note suivante aux éditeurs : « Votre avis de mot de passe non sécurisé et/ou de connexion apparaît automatiquement lors de la connexion à mon site Web, Oil and Gas International, qui n'est pas voulue et a été mise là sans notre permission. Veuillez l'enlever immédiatement. Nous avons notre propre système de sécurité et il n'a jamais été compromis depuis plus de 15 ans. Votre avis inquiète nos abonnés et nuit à notre entreprise. »
Quoi qu’il en soit, il assure que ce petit tour de passe-passe ne fonctionne plus depuis Chrome 62 et invite les développeurs à déployer leurs sites en HTTPS.
Source : blog Troy Hunt
Et vous ?
Qu'est-ce qui, selon vous, pourrait expliquer que certains développeurs ne déploient pas le HTTPS sur leurs sites ?
Voir aussi :
Google Chrome va marquer comme « non sécurisés » les sites web en HTTP qui collectent des informations sur des mots de passe