Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox 37 : le chiffrement opportuniste pour sécuriser le trafic web
Va-t-il inciter les sites HTTP à ne pas migrer vers HTTPS ?

Le , par Michael Guilloux

0PARTAGES

1  0 
Mozilla a livré, il y a deux jours, la dernière version de son navigateur Firefox. Au menu des nouveautés et changements qui sont venus avec Firefox 37 au niveau de la sécurité, l’attention de plus d’une personne a été attirée par le chiffrement opportuniste. Firefox intègre désormais « le chiffrement opportuniste du trafic HTTP quand un serveur supporte les protocoles HTTP/2 AltSvc », a annoncé Mozilla sur son blog.

Cela fait maintenant un bon moment que l’on vante les qualités du protocole HTTPS en termes de sécurité. Le chiffrement HTTPS offre une protection contre les attaques main-in-the-middle visant à intercepter le trafic non sécurisé, alors que le trafic HTTP peut être facilement manipulé ou surveillé par des tiers malveillants. Mais pour une raison ou une autre, de nombreux sites web traînent encore les pas vers l’adoption de HTTPS et continuent donc de publier tout ou partie de leur contenu sans chiffrement.

Avec l’activation par défaut du chiffrement opportuniste (OE pour Opportunistic Encryption), Mozilla s’assure de chiffrer si possible tout le trafic web via Firefox 37.

L’OE permet en fait à tout système qui, lorsqu’il est connecté à un autre système, essaye d'utiliser des méthodes cryptographiques pour établir la communication. Quand cela n'est pas possible, la communication se fait à travers un canal non chiffré. De cette façon, il n'est pas nécessaire d'avoir un accord au préalable entre les deux systèmes.

Dans le cas de Firefox, cela permettra de chiffrer toutes les communications si les serveurs ou les sites supportent les protocoles http/2 AltSvc.

D’abord Firefox vérifie qu’il y a un service http/2 sur le port 443, a dit Patrick McManus, développeur chez Mozilla. « Lorsqu'une session avec ce port est établie, il va commencer l'acheminement des requêtes qu'il devrait normalement envoyer en texte clair au port 80 (http) sur le port 443 avec chiffrement à la place. Il n'y aura pas de retard dans la réactivité parce que la nouvelle connexion est pleinement établie dans le fond avant d'être utilisée. Si le service de remplacement (port 443) devient indisponible ou ne peut pas être vérifié, Firefox revient automatiquement à l'utilisation de texte clair sur le port 80. » A-t-il ajouté.

L’OE présente cependant un grand défaut. Il s’agit de son manque d'authentification cryptographique. Le chiffrement opportuniste ne permet pas en effet de valider qu'un serveur connecté est exploité par l'organisation qui revendique sa propriété. En plus, il ne protège pas contre les attaques man-in-the-middle comme le fait HTTPS.

Quoi qu’il en soit, vaut mieux un chiffrement non authentifié que pas de chiffrement du tout, a dit McManus. Le développeur de Mozilla ajoute également que l’OE « crée une certaine confidentialité face à l'écoute passive ».

L’OE n’est également pas apprécié par tous les observateurs. Lorsque l’idée qu’il devienne une partie officielle de la spécification http 2.0 a été proposée – il y a 17 mois de cela – elle a suscité de nombreuses critiques. La méfiance envers le chiffrement opportuniste réside en effet dans le fait qu’il pourrait inciter certains sites à ne pas utiliser les protections HTTPS qui sont plus sûres.

Sources : Bits Up, Notes de versions Firefox 37

Et vous ?

Que pensez-vous du chiffrement opportuniste ?

Est-ce une alternative acceptable à HTTPS ?

Pour quelles raisons les sites web tardent-ils à passer à HTTPS ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Roadkiller
Membre régulier https://www.developpez.com
Le 02/04/2015 à 20:18
Citation Envoyé par Michael Guilloux Voir le message
Que pensez-vous du chiffrement opportuniste ?

Est-ce une alternative acceptable à HTTPS ?

Pour quelles raisons les sites web tardent-ils à passer à HTTPS ?
Les réponses à ces questions sont très simples et ont déjà été apportées ici à de nombreuses reprises. Le gros problème de HTTPS est que pour éviter que les navigateurs internet ne râlent bruyamment, il faut payer un sacré montant pour se fournir un certificat validé par une autorité de confiance (les certificats auto-générés ne convenant pas aux navigateur et ils seraient pourtant plus sûrs que l'OE je pense). Et comme l'a dit McManus, il "vaut mieux un chiffrement non authentifié que pas de chiffrement du tout". Donc bien que ça ne soit pas le top-du-top, c'est déjà mieux que rien. Et tant que rien ne sera faciliter pour se procurer un certificat validé, je vois mal l'adoption de HTTPS s'accélérer. Vivement que Let's encrypt soit disponible !
4  1 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/04/2015 à 7:06
Le chiffrement opportuniste reste loin d'avoir pour but d'obtenir une connexion sécurisée. Eventuellement cela peut dépanner en urgence mais l'objectif de son existence reste tout autre.
1  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 02/04/2015 à 19:23
J'aimerais surtout que ce navigateur soit plus performant, car par rapport aux autres (opéra par exemple...) il est lent, surtout a la longue.
Je parle de la version Windows, sous Linux c'est mieux de trouve (linux mint)
1  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 03/04/2015 à 8:02
Pour ma part l'OE est LA daube de trop, il y a dix ans firefox innovait maintenant ce navigateur embarque tout et n'importe quoi sous couvert d'avancée alors que c'est juste une régression maquillée...
Pour ma part sa me dérange pas que Firefox embarque plein de truc (Hello, Firefox OS,...) tant que sa entrave pas sur les performances du navigateur, et c'est la ou je m'inquiète, il devient de plus en plus lourd a chaque version.
1  1 
Avatar de robertledoux
Membre habitué https://www.developpez.com
Le 03/04/2015 à 10:07
Citation Envoyé par Gecko Voir le message
Start SSL permet d'avoir des certificats gratuits et valides depuis un bon moment. C'est amplement suffisant pour les petits sites et peu contraignant. L'excuse du certificat au prix exorbitant n'est absolument pas valable!
Pour les particuliers ou PME il y a aussi namecheap qui permet d'acquérir des certificats COMODO, RAPIDSSL ou GEOTRUST à partir de 9 euro avec ré-issue gratuite et un vrai compte. StartSSL, je ne supporte plus, leur systeme d'authentification par certificat digne du moyen age sans possibilité de recover en cas de "désastre", non merci.
0  0 
Avatar de Gecko
Membre éprouvé https://www.developpez.com
Le 03/04/2015 à 0:59
Citation Envoyé par Roadkiller Voir le message
Les réponses à ces questions sont très simples et ont déjà été apportées ici à de nombreuses reprises. Le gros problème de HTTPS est que pour éviter que les navigateurs internet ne râlent bruyamment, il faut payer un sacré montant pour se fournir un certificat validé par une autorité de confiance (les certificats auto-générés ne convenant pas aux navigateur et ils seraient pourtant plus sûrs que l'OE je pense). Et comme l'a dit McManus, il "vaut mieux un chiffrement non authentifié que pas de chiffrement du tout". Donc bien que ça ne soit pas le top-du-top, c'est déjà mieux que rien. Et tant que rien ne sera faciliter pour se procurer un certificat validé, je vois mal l'adoption de HTTPS s'accélérer. Vivement que Let's encrypt soit disponible !
Start SSL permet d'avoir des certificats gratuits et valides depuis un bon moment. C'est amplement suffisant pour les petits sites et peu contraignant. L'excuse du certificat au prix exorbitant n'est absolument pas valable!

Pour ma part l'OE est LA daube de trop, il y a dix ans firefox innovait maintenant ce navigateur embarque tout et n'importe quoi sous couvert d'avancée alors que c'est juste une régression maquillée...
0  2