Pas de place pour les certificats d’un espion dans Firefox

 

Le navigateur ne fera pas confiance aux certificats délivrés par une entreprise accusée de vendre des services de surveillance et de piratage à des régimes oppressifs du Moyen-Orient.

Mozilla a ainsi annoncé qu’il n’inclura pas les certificats racine d’une société controversée nommée DarkMatter dans le magasin racine de Firefox – la liste interne du navigateur des entités autorisées à émettre un certificat TLS pour sécuriser le trafic HTTPS.

Surveillance au service de dictatures du Golfe

Wayne Thayer, responsable du programme autorité de certification chez Mozilla, en a fait l’annonce officielle.

En plus de refuser l’inclusion du certificat racine de DarkMatter dans Firefox, Thayer a également déclaré que Mozilla se méfiera de six certificats intermédiaires appartenant à QuoVadis, que DarkMatter utilisait comme mécanisme temporaire pour délivrer les certificats TLS à ses clients.

Si le certificat racine de DarkMatter avait été inclus dans Firefox, il aurait permis à l’entreprise d’émettre des certificats TLS, qui auraient pu certifier de faux sites Web comme légitimes.

De nombreux experts en cybersécurité et défenseurs de la vie privée ont mis en garde Mozilla, estimant que DarkMatter abuserait de cette position au bénéfice de ses opérations de surveillance. Certaines de ces opérations ont déjà été décrites en détail.

DarkMatter est ainsi soupçonné d’avoir orchestré des opérations de piratage contre des militants des droits de l’homme, des journalistes et des gouvernements étrangers, ce à la demande des autorités des Emirats Arabes Unis.

Go to Source


bouton-devis

Mozilla : aucune activation du DNS sur HTTPS prévu au Royaume-Uni

Après qu’un groupe de Fournisseurs d’Accès Internet ait nommé Mozilla « grand méchant de l’Internet » en raison de son intention de prendre en charge un nouveau protocole de sécurité DNS nommé DNS-over-HTTPS (DoH) dans Firefox, le fabricant du navigateur a confié à ZDNet.com que de tels plans n’existent pas actuellement.

« Nous n’avons actuellement aucun plan pour activer le DoH par défaut au Royaume-Uni », a déclaré le porte-parole de ZDNet.com hier soir. La décision du fabricant du navigateur intervient après que les FAI et le gouvernement britannique, par l’intermédiaire des membres du Parlement et du GCHQ, ont critiqué Mozilla et Google au cours des deux derniers mois pour leur intention de soutenir le DNS sur HTTPS.

Cette technologie, si elle était activée, empêcherait certains fournisseurs de services Internet de suivre le trafic de leurs clients afin d’empêcher les utilisateurs d’accéder à des sites malveillants. Les FAI britanniques bloquent les sites Web à la demande du gouvernement, ils bloquent aussi volontairement d’autres sites à la demande de divers groupes de protection de l’enfance, et ils bloquent les sites pour adultes dans le cadre des options de contrôle parental qu’ils offrent à leurs clients.

Tous les FAI britanniques ne seront pas concernés par la prise en charge du DNS sur HTTPS par Mozilla et Google, car certains d’entre eux utilisent des technologies différentes pour filtrer le trafic des clients ; cependant, l’Association des fournisseurs de services Internet (ISPAUK), a décidé de désigner Mozilla pour son prix du méchant sur Internet 2019.

Pas d’activation au Royaume-Uni

Mozilla, qui est très en avance sur Google en ce qui concerne la prise en charge de DoH dans son navigateur Firefox, a été l’objet de la plupart des critiques des responsables britanniques, des groupes de défense de la protection de l’enfance et des FAI locaux, qui craignent maintenant que leurs efforts au cours des dernières décennies ne soient vains.

Début 2018, Mozilla a lancé des tests DoH dans Firefox qui ont connu un succès incroyable, et le support DoH est inclus dans la version stable de Firefox depuis la v60. Cette fonctionnalité n’est pas activée par défaut pour les utilisateurs Firefox. Dans un article de Sky News de juin, Mozilla a déclaré qu’il travaillerait avec les régulateurs britanniques pour s’assurer que le support du DoH de Firefox n’interfère pas avec les listes de blocage des sites Web et les systèmes de contrôle parental des FAI du pays.

Une semaine plus tard, le GCHQ a attaqué Mozilla après que le fabricant de navigateurs eut demandé que les listes de blocage de sites du Royaume-Uni soient rendues publiques pendant les négociations afin de soutenir la liste noire des mauvais sites pour sa fonction DoH. Le fabricant du navigateur s’est par la suite rétracté et a déclaré qu’il n’autoriserait pas le support du DoH au Royaume-Uni.

En outre, l’organisation a également déclaré qu’elle désactiverait automatiquement DoH  » au sein des entreprises, bibliothèques, écoles et autres organisations qui ont géré des réseaux ou des paramètres DNS personnalisés « , de sorte que la fonctionnalité ne permettra pas aux utilisateurs de contourner les restrictions de sécurité mises en place dans les organisations partout dans le monde.

Un soutien du DoH Européen

Le fabricant du navigateur semble vouloir activer la fonctionnalité par défaut, au moins dans d’autres pays. « Nous explorons actuellement des partenaires potentiels du ministère de la santé en Europe afin d’étendre cette importante caractéristique de sécurité à d’autres Européens « , a déclaré Mozilla à ZDNet.com. Le fabricant du navigateur estime également que les craintes concernant le nouveau protocole DoH ont été exagérées, une opinion que de nombreux experts des réseaux Internet ont partagée avec ZDNet.com.

Les navigateurs qui effectuent des requêtes de domaine DNS via HTTPS ne sont pas la solution de confidentialité fourre-tout que beaucoup de gens pensent qu’elle est. Il existe d’autres méthodes par lesquelles les FAI peuvent observer et déduire les sites Web auxquels un utilisateur accède et filtrer le trafic à des points ultérieurs.

« Construire un internet plus sûr »

« Nous sommes surpris et déçus qu’une association professionnelle de fournisseurs d’accès Internet ait décidé de présenter sous un faux jour une amélioration d’une infrastructure Internet vieille de plusieurs décennies « , a déclaré Mozilla. Malgré les affirmations contraires, un DNS plus privé n’empêcherait pas l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS (DoH) offrirait de réels avantages en matière de sécurité aux citoyens britanniques.

« Notre objectif est de construire un Internet plus sûr, et nous continuons d’avoir une conversation sérieuse et constructive avec des parties prenantes crédibles au Royaume-Uni sur la façon de le faire « , nous dit le fabricant du navigateur. Un tutoriel sur la façon d’activer le support DoH dans Firefox est disponible ici. Actuellement, Chrome ne supporte pas DoH, mais le travail est en cours.

Source : Mozilla: No plans to enable DNS-over-HTTPS by default in the UK
Go to Source


bouton-devis

De l’actu sans publicité sur Firefox ? Oui en payant chaque mois

 

Mozilla mène actuellement un sondage sur Internet pour évaluer l’appétence des consommateurs pour une offre Firefox à 5 $. L’éditeur affiche déjà un bouton offrant la possibilité aux internautes de « s’abonner maintenant, pour 4,99 $ par mois. »

En cliquant sur ce dernier, l’utilisateur accède cependant pour le moment à une enquête, le produit lui-même n’étant pas encore disponible.

Une alternative au modèle publicitaire

Si Mozilla lance un tel service, il semble probable qu’il soit fourni en partenariat avec Scroll, qui propose un service d’abonnement aux actualités sans publicité avec 12 partenaires médias, dont Slate, The Atlantic, BuzzFeed, USA Today, et Vox.

L’idée n’est pas nouvelle, mais illustre une prise de position sur l’un des nombreux défis que des entreprises comme Google, Facebook et Apple tentent de relever de diverses façons. Dans le cas de Mozilla, la principale proposition aux utilisateurs consiste à n’afficher aucune publicité sur des sites d’information qui ne nécessitent pas nécessaire d’abonnement.

L’an dernier, Google a lancé son service d’abonnement, appelé Subscribe with Google, qui permet aux utilisateurs de se connecter à plusieurs grands éditeurs via leur seul compte Google.

Cette approche résout le problème de l’utilisation de plusieurs identifiants pour se connecter à différents sites d’information. Elle n’est pas conçue spécifiquement en revanche pour offrir une expérience sans publicité.

Cependant, cette offre permet aux utilisateurs de s’abonner rapidement à un service comme le New York Times après avoir atteint sa limite mensuelle de cinq articles gratuits. 

Payer plutôt qu’utiliser un adblock ?

En février, Mozilla a présenté son projet visant à explorer d’autres modèles de financement pour le web, arguant que le système basé sur la publicité en ligne était « cassé. »

En utilisant Firefox comme plateforme, Mozilla déclarait qu’il commencerait à inviter des utilisateurs au hasard à participer à des enquêtes sur les nouveaux produits. Scroll a été l’un des premiers partenaires de ce programme Firefox.

« En permettant un financement plus direct des éditeurs, le modèle de Scroll peut offrir une alternative convaincante dans l’écosystème. Nous allons collaborer avec Scroll pour mieux comprendre les attitudes et l’intérêt des consommateurs à l’égard d’une expérience sans publicité sur le Web dans le cadre d’un modèle de financement alternatif » mettait en avant Mozilla.

Les réactions à la proposition de Mozilla sur Hacker News sont toutefois mitigées, et le service serait d’une valeur limitée pour les lecteurs non américains, probablement moins intéressés par The Atlantic et USA Today que le Washington Post et le New York Times.

Autre défi potentiel : de nombreux utilisateurs se sont déjà tournés vers les bloqueurs de publicité, les fameux adblocks, pour bénéficier de cette expérience sans publicité sur les sites d’information. Et sans avoir à souscrire le moindre abonnement.

Go to Source


bouton-devis

Mozilla nommé « ‘Villain de l’Internet » par un groupe de FAI britannique

L’association professionnelle des fournisseurs de services Internet au Royaume-Uni a nommé Mozilla pour le prix de « Internet Villain » de cette année. Pourquoi ? En raison des plans de l’éditeur de navigateur pour soutenir le protocole DNS-over-HTTPS (DoH) dans son navigateur Firefox.

 

Dans une déclaration publiée cette semaine, l’Association des fournisseurs de services Internet (ISPAUK) a affirmé que Mozilla prévoit de soutenir le DNS sur HTTPS « de manière à éviter les obligations de filtrage et de contrôle parental du Royaume-Uni, en contournant les normes de sécurité Internet au Royaume-Uni. »

Les commentaires de l’association professionnelle viennent après deux mois de critiques constantes à l’encontre de Mozilla et de Google, de la part du gouvernement britannique et de divers groupes de pression, et tous sont centrés sur le nouveau protocole DoH.

Qu’est-ce que le DoH et pourquoi les FAI détestent-ils ?

Le protocole DNS-over-HTTPS (IETF RFC8484) fonctionne en envoyant des requêtes DNS via une connexion HTTPS chiffrée, plutôt qu’en utilisant une requête UDP (un protocole de télécommunication) classique en clair, comme un DNS classique fonctionne habituellement. L’autre différence est qu’en plus d’être chiffré, le protocole DoH fonctionne également au niveau de l’application, plutôt qu’au niveau de l’OS.

Toutes les connexions DNS sur HTTPS se font entre une application (comme un navigateur ou une application mobile) et un serveur DNS sécurisé compatible DoH. Tout le trafic de DoH passent par le HTTPS. Les requêtes de nom de domaine DoH sont chiffrées et ensuite noyées dans le trafic web régulier envoyé au résolveur DNS du DoH, qui répond ensuite avec l’adresse IP d’un nom de domaine, également en HTTPS chiffré.

Comme effet secondaire de cette conception, cela signifie également que chaque application contrôle la confidentialité de ses requêtes DNS, et peut cibler une liste de serveurs DNS-over-HTTPS dans ses paramètres, et ne dépend pas des serveurs DNS par défaut du système d’exploitation (et très probablement non compatibles DoH).

Ce protocole signifie que les requêtes DNS d’un utilisateur sont invisibles pour les observateurs tiers, tels que les FAI, et que toutes les requêtes et réponses DNS du DoH sont cachées dans un nuage de connexions chiffrées, impossible à distinguer des autres trafic HTTPS.

En théorie, le protocole est un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les FAI et les fabricants d’appareils de sécurité réseau. Le Royaume-Uni craint que le ministère de la santé ne paralyse son système national de blocage du Web.

Au Royaume-Uni, les FAI sont légalement obligés de bloquer certains types de sites Web, tels que ceux qui présentent un contenu extrémiste, des images pour adultes, de la pornographie enfantine et ceux qui hébergent un contenu contrevenant au droit d’auteur. Certains FAI bloquent certains sites à leur discrétion, pour diverses raisons.

En envisageant de prendre en charge le DNS over HTTPS, Mozilla met à mal la capacité de nombreux FAI à renifler le trafic de leurs clients et à filtrer le trafic des « mauvais sites » mandatés par le gouvernement.

Seul contre tous ?

Alors que certains FAI basés au Royaume-Uni, tels que British Telecom, ont montré un soutien public pour le protocole DoH, la grande majorité d’entre eux ne l’ont pas fait. Le direct de l’association professionnelle ISPAUK fait suite à une période de deux mois au cours de laquelle Google et Mozilla ont été critiqués au Royaume-Uni pour leur projet de prendre en charge DNS-over-HTTPS dans leur navigateur respectif, Chrome et Firefox.

À la mi-mai, la baronne Thornton, députée travailliste, a évoqué le protocole du DoH et son soutien imminent de la part des fabricants de navigateurs lors d’une session de la Chambre des communes, le qualifiant de menace à la sécurité en ligne du Royaume-Uni. De même, le service de renseignement britannique, affirme que le nouveau protocole entraverait les enquêtes policières et qu’il pourrait saper les protections gouvernementales existantes contre les sites Web malveillants.

Le groupe de surveillance britannique, l’IWF (L’Internet Watch Foundation), a également critiqué Google et Mozilla, affirmant que les fabricants de navigateurs ruinaient des années de travail pour protéger le public britannique des contenus abusifs en fournissant une nouvelle méthode pour accéder au contenu illicite.

L’énigme de Tor

Fondamentalement, le support de Google et Mozilla pour DoH se réduit au même dilemme moral qui entoure le projet et réseau Tor. Les fabricants de navigateurs doivent maintenant décider s’il vaut la peine de soutenir un outil qui améliore la protection de la vie privée de millions de personnes, au détriment de quelques-uns qui pourraient en souffrir.

Actuellement, Google teste toujours le support DoH dans Chrome, tandis que Mozilla a terminé un test DoH réussi dans Firefox, et a officiellement déclaré qu’il prévoit de prendre en charge la fonctionnalité dans la branche stable, mais n’a pas donné un calendrier.

Nominé pour le prix ISPAUK « Internet Villain » au coté du président américain Donald Trump et de la directive européenne Article 13 Copyright. Un porte-parole de Mozilla n’a pas renvoyé de demande de commentaires concernant la nomination de l’organisation.

Source : UK ISP group names Mozilla ‘Internet Villain’ for supporting ‘DNS-over-HTTPS’
Go to Source


bouton-devis

Comme Chrome, Firefox aura son générateur de mots de passe aléatoires

 

Mozilla ajoute un générateur de mots de passe aléatoires à Firefox. A l’automne 2018, avec la sortie de Chrome/Chromium v69, Google implémentait cette fonctionnalité dans les navigateurs Chrome et Chromium.

Le générateur de mots de passe aléatoires de Firefox devrait devenir accessible à tous les utilisateurs du navigateur lors de la sortie de Firefox 69, prévue pour début septembre, environ un an après Chrome 69.

Actuellement, le générateur de mots de passe aléatoires n’est disponible que dans Firefox Nightly, une version Firefox permettant de tester les nouvelles fonctionnalités avant leur généralisation dans la branche stable.

Comment activer le générateur de mots de passe aléatoires

Lorsque Firefox 69 sera disponible, le générateur de mots de passe aléatoires devrait être accessible sous forme de case à cocher dans la section Paramètres Firefox, sous « Confidentialité et sécurité », sous « Logins et mots de passe ».

Mais jusqu’à ce que la fonction entre en production, les utilisateurs de Firefox Nightly peuvent l’activer en bricolant les paramètres du navigateur, que l’on peut trouver en accédant à l’URL about:config du logiciel.

Ici, ils doivent activer deux paramètres, signon.generation.available et signon.generation.enabled.

Une fois ces deux paramètres réglés sur ‘true’, une case à cocher « Suggérer et générer des mots de passe forts » apparaîtra dans les paramètres de Firefox Nightly.

Les utilisateurs pourront alors double-cliquer sur un champ de mot de passe dans un formulaire d’inscription, et recevront ainsi un mot de passe généré de manière aléatoire.

Selon le tracker Buzilla, le générateur de mot de passe ne fonctionne qu’avec les champs de mot de passe utilisant l’attribut HTML auto-complete= »new-password » ; cependant, l’objectif est de supporter le générateur de mot de passe aléatoire sur tous les champs de mot de passe, et non uniquement ceux ayant recours à cet attribut.

Plus tôt ce mois-ci, Mozilla a lancé un gestionnaire de mots de passe pour les terminaux mobiles. Firefox Lockwise permet aux utilisateurs d’accéder aux mots de passe stockés dans Firefox à partir de leurs terminaux.

Go to Source


bouton-devis