La nouvelle version du navigateur open source de Mozilla, Firefox 61, a mis le paquet concernant la sécurité. Voici toutes les nouveautés.
Le navigateur Firefox pour Windows, Linux, macOS et Android supporte par défaut la nouvelle technologie de chiffrement TLS 1.3, qui améliore considérablement la sécurité des connexions HTTPS, avec notamment une confidentialité persistante parfaite et une protection contre les attaques par rétrogradation (« downgrade attacks »).
Par ailleurs, cette nouvelle version bloque le chargement de contenu par FTP au sein d’un document Web classique, qu’il s’agisse d’images, de scripts ou d’iframes. En effet, FTP est un protocole très peu sécurisé par défaut. Son intégration risque donc de saborder un certain nombre de nouveaux principes comme HSTS, pour HTTP Strict Transport Security, le mécanisme de sécurité qui permet l’établissement des connexions sécurisées HTTPS, par exemple.
Enfin, signalons que Firefox 61 permet désormais de rajouter directement depuis la barre principale le moteur de recherche d’un site dans la liste des moteurs de recherche du navigateur, à condition qu’il soit conforme au standard OpenSearch.
Alerte en cas de piratage de compte
Firefox pourra bientôt vous alerter si votre adresse e-mail est connue comme ayant été piratée. Comment cela est-il possible ? Le site « Have I Been Pwned ? » s’associe à la fondation Mozilla pour permettre aux internautes de savoir plus facilement si leur mail figure dans la plus importante base de données piratées.
L’idée est astucieuse et très ambitieuse ! En effet, au lieu de devoir aller consulter le site Have I Been Pwned ?, Mozilla souhaite avertir directement les utilisateurs lors de la saisie de leur adresse mail qu’un problème de sécurité existe, Firefox vérifiant l’existence potentielle d’un piratage en arrière plan. Malin !
Troy Hunt, le fondateur de la dite base de données explique le concept sur son blog :
“Parmi les 5,1 milliards d’enregistrements qui sont aujourd’hui dans le site, il y a 3,1 milliards d’adresses e-mail uniques. J’atteins 0,06 % d’entre eux via le service de notification et pas beaucoup plus en termes de personnes venant sur le site et faisant une recherche ad hoc (généralement 100 000 à 200 000 personnes par jour).”
Tout le projet se baserait sur l’outil de sécurité Firefox Monitor, encore au stade expérimental à ce jour. Il sera déployé début juillet sur un panel de quelques milliers d’internautes testeurs avant d’être généralisé.
Respect de la vie privée
Bien entendu, on parle ici de données privées (d’adresses e-mail en l’occurrence) et il n’est pas question pour la fondation Mozilla d’exposer ce type d’information.
Ainsi, une attention particulière a été apportée sur la confidentialité des informations, potentiellement compromises :
« Il est important de noter que nous ne violons pas les attentes de nos utilisateurs en matière de protection de la vie privée en ce qui concerne le traitement de leur adresse électronique. Nous avons travaillé en étroite collaboration avec “Have I Been Pwned ?” et Cloudflare pour créer une méthode de partage de données anonymisées pour Firefox Monitor, qui n’envoie jamais votre adresse mail complète à un tiers, en dehors de Mozilla », déclare Mozilla.
Techniquement parlant, lorsqu’un internaute testera une adresse mail via Firefox Monitor, celui-ci produira une empreinte hashée et seuls les six premiers caractères de cette empreinte sont envoyés à l’API de « Have I Been Pwned ? ». Le site renverra alors une réponse avec toutes les empreintes ayant cette valeur, moins les six premiers caractères et Firefox Monitor vérifie si l’une d’elles correspond à l’empreinte totale du mail.
Dans ces conditions, le mail n’est jamais transmis en clair et les empreintes d’un côté comme de l’autre ne sont jamais transmises intégralement. Seules des portions utiles sont manipulées et des comparaisons sont ensuite effectuées de chaque côté pour faire émerger des concordances. Si c’est le cas, alors le service indiquera à l’internaute pour quel site la correspondance a été faite. Source : Numerama.