Mozilla a livré, il y a deux jours, la dernière version de son navigateur Firefox. Au menu des nouveautés et changements qui sont venus avec Firefox 37 au niveau de la sécurité, l’attention de plus d’une personne a été attirée par le chiffrement opportuniste. Firefox intègre désormais « le chiffrement opportuniste du trafic HTTP quand un serveur supporte les protocoles HTTP/2 AltSvc », a annoncé Mozilla sur son blog.
Cela fait maintenant un bon moment que l’on vante les qualités du protocole HTTPS en termes de sécurité. Le chiffrement HTTPS offre une protection contre les attaques main-in-the-middle visant à intercepter le trafic non sécurisé, alors que le trafic HTTP peut être facilement manipulé ou surveillé par des tiers malveillants. Mais pour une raison ou une autre, de nombreux sites web traînent encore les pas vers l’adoption de HTTPS et continuent donc de publier tout ou partie de leur contenu sans chiffrement.
Avec l’activation par défaut du chiffrement opportuniste (OE pour Opportunistic Encryption), Mozilla s’assure de chiffrer si possible tout le trafic web via Firefox 37.
L’OE permet en fait à tout système qui, lorsqu’il est connecté à un autre système, essaye d'utiliser des méthodes cryptographiques pour établir la communication. Quand cela n'est pas possible, la communication se fait à travers un canal non chiffré. De cette façon, il n'est pas nécessaire d'avoir un accord au préalable entre les deux systèmes.
Dans le cas de Firefox, cela permettra de chiffrer toutes les communications si les serveurs ou les sites supportent les protocoles http/2 AltSvc.
D’abord Firefox vérifie qu’il y a un service http/2 sur le port 443, a dit Patrick McManus, développeur chez Mozilla. « Lorsqu'une session avec ce port est établie, il va commencer l'acheminement des requêtes qu'il devrait normalement envoyer en texte clair au port 80 (http) sur le port 443 avec chiffrement à la place. Il n'y aura pas de retard dans la réactivité parce que la nouvelle connexion est pleinement établie dans le fond avant d'être utilisée. Si le service de remplacement (port 443) devient indisponible ou ne peut pas être vérifié, Firefox revient automatiquement à l'utilisation de texte clair sur le port 80. » A-t-il ajouté.
L’OE présente cependant un grand défaut. Il s’agit de son manque d'authentification cryptographique. Le chiffrement opportuniste ne permet pas en effet de valider qu'un serveur connecté est exploité par l'organisation qui revendique sa propriété. En plus, il ne protège pas contre les attaques man-in-the-middle comme le fait HTTPS.
Quoi qu’il en soit, vaut mieux un chiffrement non authentifié que pas de chiffrement du tout, a dit McManus. Le développeur de Mozilla ajoute également que l’OE « crée une certaine confidentialité face à l'écoute passive ».
L’OE n’est également pas apprécié par tous les observateurs. Lorsque l’idée qu’il devienne une partie officielle de la spécification http 2.0 a été proposée – il y a 17 mois de cela – elle a suscité de nombreuses critiques. La méfiance envers le chiffrement opportuniste réside en effet dans le fait qu’il pourrait inciter certains sites à ne pas utiliser les protections HTTPS qui sont plus sûres.
Sources : Bits Up, Notes de versions Firefox 37
Et vous ?
Que pensez-vous du chiffrement opportuniste ?
Est-ce une alternative acceptable à HTTPS ?
Pour quelles raisons les sites web tardent-ils à passer à HTTPS ?
Firefox 37 : le chiffrement opportuniste pour sécuriser le trafic web
Va-t-il inciter les sites HTTP à ne pas migrer vers HTTPS ?
Firefox 37 : le chiffrement opportuniste pour sécuriser le trafic web
Va-t-il inciter les sites HTTP à ne pas migrer vers HTTPS ?
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !