Firefox bascule vers le 100% HTTPS

Mozilla mise tout sur la sécurité en cette année 2018. Afin de compléter sa mue, Mozilla annonçait, il y a quelques jours, la mise en place de sa politique de «secure context» ou contexte sûr.

Il s’agit en fait d’un ensemble d’éléments qui permettent d’être confiant dans le fait que les contenus fournis l’ont été par une voie sécurisée (HTTPS/TLS) et que les communications nécessaires non sécurisées sont les plus réduites possibles. Avec cette nouvelle politique, Mozilla veut rendre obsolète le HTTP non sécurisé. Cette décision implique qu’un nombre relativement important de fonctions avancées du Web pourrait ne plus fonctionner avec le navigateur s’il n’est pas jugé sûr. C’est le cas des API de notifications Web ou requêtes de paiement, par exemple, ou encore de l’implémentation de DRM ou même des accès aux micros et Webcam depuis une appli Web. En définitive c’est tout ce qui est «exposé sur le web» via des Javascript, des CSS ou des formats média, qui est potentiellement concerné. Il peut s’agir aussi bien d’une feuille de style CSS que d’un nouveau header HTTP ou même d’une fonction WebVR.

Avec cette transformation, les développeurs au sein de Mozilla ne seront pas les seuls à avoir du travail en plus. Si le HTTPS est devenu commun en ligne, tout le monde n’est pas à la page. Certains sites conservent encore leurs images sur un serveur «non chiffré», ce qui va forcer les administrateurs et développeurs de sites Web à changer la source de ces images. Pour les aider, Mozilla va d’ailleurs mettre à leur disposition de nouveaux outils pour leur permettre de tester leurs sites sans forcément déployer un serveur HTTPS. Pas une mince affaire, ce qui pourrait pousser ses utilisateurs à utiliser d’autres navigateurs. Un risque que Firefox est prêt à prendre. «Supprimer des fonctions du Web non sécurisé aboutira probablement à ce que des sites ne fonctionnent plus.

Nous devrons donc surveiller ces pannes et trouver l’équilibre avec le bénéfice en sécurité», annonçait Mozilla en 2015. Il est évident que les équipes de Firefox veilleront à prendre certaines précautions. Mais depuis 2015, bien des choses ont changé. Pour autant, Mozilla a constaté qu’en l’espace de trois ans, un long chemin a déjà été parcouru. La fondation constatait dans une réponse par mail à quelques questions sur ce sujet qu’il y a désormais «une bonne dynamique et suffisamment d’infrastructures en place aujourd’hui pour que le changement soit faisable». Ainsi, au 22 janvier 2018, selon Let’s Encrypt, plus de 68% des pages chargées dans Firefox l’étaient en utilisant une connexion sécurisée. Une progression de près de 20% par rapport à la même période l’année précédente.