Livrée un peu plus tôt cette semaine, la dernière version de Firefox supporte l’Opportunistic Encryption ou OE. Grâce à cette fonction de sécurité, Firefox 37 est capable de sécuriser les connexions à des sites qui n’appliquaient aucun cryptage. L’Opportunistic Encryption comble en quelque sorte un vide entre l'absence totale de cryptage, qui indique généralement des « connexions en texte clair », et le cryptage HTTPS complet. Son avantage : il est plus simple à mettre en œuvre. Et, sur les sites supportant l’OE, les utilisateurs gagneront un minimum de protection contre la surveillance passive, par exemple le siphonnage des données à l’image de ce que pratique la NSA.

« Cependant, contrairement à l’HTTPS, l’Opportunistic Encryption ne les protègera pas contre les attaques actives de type man-in-the-middle », selon le développeur de Mozilla, Patrick McManus, qui a expliqué comment fonctionnait l’OE de Firefox sur son blog personnel. Contrairement à l’HTTPS, l’OE utilise une connexion chiffrée non authentifiée. En d'autres termes, le site n'a pas besoin d'un certificat de sécurité signé par un émetteur de confiance comme c’est le cas pour le HTTPS qui s’appuie en grande partie sur ces certificats pour la sécurisation des connexions. Et les navigateurs se fient à ces certificats pour savoir s’ils peuvent se connecter en confiance à un site Web.

 Recherches chiffrées en HTTPS avec Bing

Cependant, pour que l’Opportunistic Encryption fonctionne correctement, le support de Firefox pour ce type de cryptage n’est pas suffisant. Pour que cette protection minimale soit active, encore faut-il que les sites eux-mêmes l’autorisent. Selon Patrick McManus, les propriétaires de sites ont seulement deux manipulations à faire pour permettre l’OE. Mais, en premier lieu, ils doivent configurer leur serveur HTTP/2 ou SPDY, ce qui, comme le fait remarquer Ars Technica, n’est peut-être pas aussi simple que ça. Donc, si le support de l’OE par Firefox est une bonne chose en soi pour les utilisateurs et une première étape pour éviter de naviguer « en clair », la protection ne sera effective que lorsque les propriétaires de sites commenceront à soutenir le format.

Mis à part ce support de l’Opportunistic Encryption, la dernière version de Firefox s’est également dotée d’une protection supplémentaire contre les faux certificats de sécurité. La fonctionnalité appelée OneCRL permet à Mozilla d’envoyer des listes de certificats révoqués au navigateur sans avoir à passer par une base de données en ligne. Firefox ajoute également le HTTPS à Bing quand on utilise le moteur de recherche de Microsoft depuis la fenêtre de recherche intégrée du navigateur.