Geckozone

Cet article est la traduction de « Firefox 3 : Site Identification button » publié par Deb Richardson le 6 mai 2008

S’assurer que les utilisateurs sont à l’abri des dangers et se sentent en sécurité lorsqu’ils naviguent sur le Web est un des plus gros défis auquel font face les créateurs de navigateurs. La sécurité de ces logiciels implique un ajustement raffiné entre une tendance à protéger les utilisateurs des dangers existants et à trop restreindre leur liberté d’aller où ils le veulent et de voir ce qu’ils veulent sur le Web.

Parmi les nouvelles fonctionnalités de Firefox 3 en termes de sécurité, j’apprécie particulièrement le bouton d’identification des sites. Ce bouton remplace et dérive de l’icône de « cadenas » bien connue, qui a longtemps été l’indicateur principal de sécurité visible dans les navigateurs. Firefox 2, par exemple, indique que la connexion à un site est chiffrée en changeant la couleur de fond de la Barre d’adresse et en affichant cette icône de cadenas.

Ce cadenas pose cependant un grave problème car beaucoup de gens pensent qu’il représente davantage que son véritable sens. Je l’ai indéniablement cru jusqu’à cette longue conversation que j’ai eue avec Johnathan Nightingale (gourou Mozilla de l’interface utilisateur des fonctions de sécurité et principal concepteur de cette fonctionnalité). Il m’a expliqué que le cadenas signifiait seulement « chiffré », et pas « fiable ». Là où le cadenas avait un sens précis concernant la sécurité du navigateur, je l’avais affublé d’un sens bien plus large et profond qu’il n’en méritait.

Alors, quelle différence entre « chiffré » et « fiable » ? En fait, il se trouve que ce n’est pas si difficile de concevoir un site qu’un navigateur va afficher avec un cadenas. En réalité, c’est tellement facile que pratiquement n’importe qui peut le faire, y compris des canailles qui surgissent pour dérober votre numéro de carte de crédit, votre identité et tout ce qu’ils pourront trouver d’autre. Donc, le cadenas veut dire « chiffré » mais ne renseigne pas sur la validité du domaine ou sur l’identité des personnes qui se trouvent de l’autre côté de la connexion chiffrée.

Il est même possible d’afficher facilement un genre de faux cadenas, comme montré ici :

Le cadenas n’est pas au bon endroit, et ce n’est même pas vraiment le bon cadenas, mais la plupart des utilisateurs n’y verraient que du feu, se rabattant sur la supposition répétée mais pas vraiment correcte que « le cadenas veut dire que je suis en sécurité ». C’est une imitation très simple et imparfaite (l’icône du site est simplement en forme de cadenas), mais c’est suffisant pour embrouiller et tromper certains utilisateurs. Les choses devaient clairement être améliorées.

La façon dont Firefox 3 améliore les choses

C’est ici qu’entre en scène le nouveau bouton d’identification des sites de Firefox 3. Plutôt que d’afficher simplement un petit cadenas quelque part, Firefox 3 analyse tout ce qu’il sait du site que vous visitez et rend ces informations facilement accessibles d’un simple clic sur le bouton à la gauche de la barre d’adresse.

Le bouton peut avoir l’une de ces trois couleurs : gris, bleu ou vert ; et affiche le nouveau dialogue d’identification du site lorsque l’on clique dessus. Celui-ci comprend une icône d’« agent de contrôle des passeports » assortie, grise, bleue ou verte, et affiche un résumé des informations disponibles concernant l’identité du site.

Donc, au lieu d’avoir un simple indicateur du chiffrement ou non de la connexion (le cadenas), Firefox 3 vous présente des informations couvrant un éventail de différents niveaux de sécurité.

Voici ce que les couleurs signifient :

Gris — pas d’information d’identité

La couleur grise du bouton d’identification indique que le site ne fournit pas la moindre information d’identité. De plus, la connexion entre le navigateur et le serveur n’est pas chiffrée ou n’est que partiellement chiffrée et ne devrait pas être considérée comme sûre et à l’abri des oreilles indiscrètes.

L’immense majorité du Web aura ce bouton gris, parce que la plupart des sites ne transmettent pas d’informations sensibles d’un côté à l’autre, et n’ont pas vraiment besoin d’avoir une identité certifiée ou une connexion chiffrée. Le gris est donc approprié pour la majorité des sites.

Note : si vous envoyez la moindre information confidentielle (informations bancaires, données de carte de crédit, de sécurité sociale, etc.), le bouton d’identification du site ne devrait pas être gris.

La couleur grise du bouton d’identification des sites permet de se rendre directement compte que ce site imite un cadenas, d’autant que la barre d’adresse de Firefox 3 n’affiche pas de cadenas comme indicateur de sécurité. Ce site n’est pas vraiment chiffré ni fiable :

Bleu — informations d’identité basiques

La couleur bleue du bouton d’identification des sites indique que le domaine du site a été certifié, et que la connexion entre le navigateur et le serveur est chiffrée et donc protégée contre les oreilles indiscrètes.

Lorsqu’un domaine a été certifié, cela signifie que les personnes qui sont derrière le site ont acheté un certificat prouvant qu’ils détiennent le domaine et qu’il n’est pas imité. Par exemple, le site de ma banque a cette sorte de certificat et une connexion chiffrée, elle affiche donc un bouton d’identification bleu. Lorsque je clique sur ce bouton, il me dit que le site easyweb.tdcanadatrust.com a été certifié comme faisant partie de tdcanadatrust.com, comme certifié par RSA Data Security Inc. Il m’assure également que la connexion est chiffrée afin que personne ne puisse écouter la connexion pour voler mes informations d’identification bancaires.

Ce qui n’est pas certifié dans cette situation est l’identité de la personne qui détient réellement le domaine en question. Il n’y a pas de garantie que le domaine tdcanadatrust.com est réellement détenu par la Toronto Dominion Bank. Tout ce qui m’est garanti, c’est que le domaine est valide et que ma connexion avec lui est chiffrée.

Si j’ai toujours un doute quant à l’identité d’un site affichant un bouton d’identification bleu, je peux consulter plus d’informations le concernant en cliquant sur le bouton « Plus d’informations… » du dialogue d’identification du site. Je peux y voir le certificat d’identité du site, savoir si je l’ai visité auparavant, et si je dispose de cookies ou de mots de passe enregistrés pour ce site.

Il s’agit de la section « Vie privée et historique » des informations de sécurité affichées par le bouton « Plus d’informations… ». Firefox 3 me dit ici que j’ai visité le site 94 fois depuis le dernier nettoyage de mon historique de navigation, que mon navigateur conserve au moins un cookie pour ce site et que je n’ai enregistré aucun mot de passe le concernant. Toutes ces informations correspondent avec ce que j’attends, je suis donc assurée que ce site est celui que je pense, et je peux à présent effectuer mes opérations bancaires sans aucune inquiétude.

Vert — informations d’identité complètes

Le bouton d’identification vert indique que le site fournit des informations d’identité intégralement vérifiées concernant son propriétaire, et que la connexion est chiffrée.

Si un site a un bouton d’identification vert, cela signifie qu’il utilise un nouveau « certificat à validation étendue » (EV). Vous pouvez en savoir plus sur les certificats EV en suivant le lien plus haut (Ndt. en anglais), mais pour faire court, les certificats EV sont un type spécial de certificats de validation de sites, dont le processus de vérification de l’identité est nettement plus rigoureux que pour les autres types de certificats. Donc, si le bouton bleu indique que le domaine d’un site n’est pas imité mais n’a pas d’information vérifiée sur le propriétaire réel du domaine, le bouton d’identification vert indique que le domaine est valide et que les propriétaires de ce domaine sont bien ceux que vous supposez.

Avec un certificat EV, le bouton d’identification des sites vous assure que paypal.com est détenu par Paypal Inc., par exemple. Non seulement le bouton d’identification du site devient vert sur le site de Paypal, mais il s’élargit également pour afficher le nom du propriétaire à droite de l’icône. Le dialogue d’identification du site présente des informations complémentaires plus détaillées.

Par contraste, voici ce que Firefox 2 fait lorsqu’il se trouve sur le site paypal.com :

Si je clique sur le cadenas, ces informations sur la page apparaissent :

En comparaison avec les informations d’identification de Firefox 3, le cadenas et le dialogue d’informations sur la page de Firefox 2 ne sont pas très instructifs.

Mais attendez, ce n’est pas tout !

Dans d’autres situations, l’agent de contrôle des passeports apparait dans deux autres couleurs, mais en dehors du bouton d’identification des sites.

Jaune — certificat d’identité invalide

Une chose que vous pourriez rencontrer en navigant avec Firefox 3 est une page avec une icône d’agent de vérification des passeports jaune. Si le bouton d’identification des sites n’a pas d’état « jaune », cette icône apparaitra lorsqu’un problème quelconque est détecté concernant le certificat d’identité d’un site.

La page ci-dessus est en fait générée par Firefox 3 lui-même, et son objectif est de vous empêcher de vous rendre sur un site dont le certificat d’identité est invalide. Comme les permis de conduire et les passeports, les identifications des sites doivent être renouvelées régulièrement sous peine d’expirer. Et comme vous ne pouvez utiliser que votre propre passeport, chaque site doit présenter le certificat qui lui appartient.

Dans le cas présenté ci-dessus, le problème exprimé par l’alerte est que le site a un certificat d’identité « autosigné ». Sur le Web, les certificats autosignés sont un peu comme des passeports que vous feriez à la maison — ils ne signifient rien, personne ne les a vérifiés, et si les informations fournies peuvent être vraies, Firefox veut que vous sachiez que celles-ci n’ont pas été validées.

Beaucoup de sites parfaitement valides utilisent des certificats autosignés simplement pour pouvoir gérer des connexions chiffrées vers le serveur, et ne font absolument rien de préjudiciable ou de malveillant. C’est pourquoi Firefox 3 vous permet d’ajouter des exceptions pour les sites qui ont des certificats autosignés dont vous savez qu’ils n’essaient pas de vous tromper. L’ajout d’une exception est un processus très simple qui n’a besoin d’être suivi qu’une seule fois pour chaque site.

En bas de la page « Échec de la connexion sécurisée » qui vous empêche d’accéder au site (montrée plus haut), se trouve un lien indiquant « Ou vous pouvez ajouter une exception… ». Cliquez dessus et le texte suivant apparaitra afin de vérifier que c’est bien ce que vous désirez faire :

Cliquez sur le bouton « Ajouter une exception… » qui s’y trouve, et vous verrez ce dialogue, où vous achèverez le processus :

Si vous voulez ajouter une exception temporairement, assurez-vous que la case à cocher « Enregistrer cette exception de manière permanente » est décochée. Cliquez ensuite sur « Confirmer l’exception de sécurité », et Firefox 3 ne vous empêchera plus de visiter la page.

L’icône d’agent de contrôle des passeports jaune apparaitra également dans d’autres situations, toutes liées à un problème concernant le certificat d’identité du site. La page d’avertissement vous expliquera clairement ce qui ne va pas et ce qu’il convient de faire.

Rouge — site d’attaque connu

Il existe enfin une icône d’agent de contrôle des passeports strictement rouge avec un petit signe stop à la place d’un passeport. Celle-ci fait partie du système de protection de Firefox 3 contre les logiciels malveillants et les sites contrefaits qui vous protège contre les sites connus pour être dangereux, mais ce sera l’objet d’un autre article. Pour l’instant, sachez simplement que si vous rencontrez un agent rouge, il vous protège d’attaques potentielles et est juste là pour vous aider.

Le système de Firefox 3 — avec son bouton d’identification des sites et le dialogue associé, sa page d’informations sur la sécurité plus sympathique et ses pages d’avertissement pour certificats invalides — est largement supérieur aux systèmes plus anciens qui se basaient si fortement sur le cadenas. Non seulement les indicateurs de sécurité ont été étendus et améliorés, mais il est également beaucoup plus simple à présent de comprendre les différents niveaux de sécurité pouvant être rencontrés en navigant sur le Web. Aucun système n’est parfait, bien entendu, mais Firefox 3 fait certains pas précieux et importants pour l’amélioration de la sécurité sur le Web.