Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Firefox fait un sans faute lors d'un audit réalisé par l'agence allemande de sécurité informatique
Qui le recommande comme étant le navigateur le plus sécurisé

Le , par Stéphane le calme

348PARTAGES

39  0 
Firefox est le seul navigateur à avoir obtenu un sans-faute lors d'un récent audit réalisé par l'agence allemande de sécurité informatique - l'Office fédéral allemand de la sécurité de l'information (ou le Bundesamt für Sicherheit in der Informationstechnik - BSI). La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n'incluaient pas d'autres navigateurs tels que Safari, Brave, Opera ou Vivaldi.

L'audit a été effectué à l'aide de règles détaillées dans une directive pour les « navigateurs sécurisés modernes » publiée par le BSI le mois dernier, en septembre 2019.

La BSI utilise normalement ce guide pour conseiller les agences gouvernementales et les entreprises du secteur privé sur les navigateurs sécurisés. L'agence allemande de cybersécurité a publié une première directive relative aux navigateurs sécurisés en 2017, mais a revu et mis à jour les spécifications au cours de l'été.

La BSI a mis à jour son guide afin de prendre en compte les mesures de sécurité améliorées ajoutées aux navigateurs modernes, telles que HSTS, SRI, CSP 2.0, la gestion de la télémétrie et des mécanismes améliorés de gestion des certificats.Selon le nouveau guide de la BSI, pour être considéré comme « sécurisé », un navigateur moderne doit satisfaire à ces exigences minimales :
  • doit prendre en charge TLS ;
  • doit avoir une liste de certificats de confiance ;
  • doit prendre en charge les certificats de validation étendue (EV) ;
  • doit vérifier les certificats chargés par rapport à une liste de révocation de certification (CRL) ou à un protocole OCSP (Online Certificate Status Protocol) ;
  • le navigateur doit utiliser des icônes ou des couleurs vives pour indiquer le moment où les communications avec un serveur distant sont chiffrées ou en texte clair ;
  • les connexions aux sites Web distants exécutés avec des certificats arrivés à expiration ne doivent être autorisées qu'après accord de l'utilisateur ;
  • doit prendre en charge la sécurité du transport strict HTTP (HSTS) (RFC 6797) ;
  • doit prendre en charge la politique de même origine (SOP) ;
  • doit prendre en charge la politique de sécurité du contenu (CSP) 2.0 ;
  • doit prendre en charge l'intégrité des sous-ressources (SRI) ;
  • doit prendre en charge les mises à jour automatiques ;
  • doit prendre en charge un mécanisme de mise à jour distinct pour les composants et extensions cruciaux du navigateur ;
  • les mises à jour du navigateur doivent être signées et vérifiables ;
  • le gestionnaire de mots de passe du navigateur doit stocker les mots de passe sous une forme chiffrée ;
  • l'accès au coffre-fort de mots de passe intégré au navigateur ne doit être autorisé qu'après que l'utilisateur a entré un mot de passe principal ;
  • l'utilisateur doit pouvoir supprimer les mots de passe du gestionnaire de mots de passe du navigateur ;
  • les utilisateurs doivent pouvoir bloquer ou supprimer les fichiers témoins ;
  • les utilisateurs doivent pouvoir bloquer ou supprimer l'historique de saisie semi-automatique ;
  • les utilisateurs doivent pouvoir bloquer ou supprimer l'historique de navigation ;
  • les administrateurs d'organisation doivent être en mesure de configurer ou d'empêcher les navigateurs d'envoyer des données de télémétrie / d'utilisation ;
  • les navigateurs doivent prendre en charge un mécanisme permettant de rechercher des contenus / URL nuisibles ;
  • les navigateurs devraient permettre aux organisations d’exécuter des listes noires d’URL stockées localement ;
  • doit prendre en charge une section de paramètres dans laquelle les utilisateurs peuvent activer / désactiver les plug-ins, les extensions ou JavaScript ;
  • les navigateurs doivent pouvoir importer des paramètres de configuration créés de manière centralisée, idéal pour les déploiements d'entreprise à grande échelle ;
  • doit permettre aux administrateurs de désactiver les fonctionnalités de synchronisation de profil dans le cloud ;
  • doit être exécuté après son initialisation avec des droits minimaux sur le système d'exploitation ;
  • doit prendre en charge le sandboxing. Tous les composants du navigateur doivent être isolés les uns des autres et du système d'exploitation. La communication entre les composants isolés ne peut s'effectuer que via des interfaces définies. L'accès direct aux ressources de composants isolés ne doit pas être possible ;
  • les pages Web doivent être isolées les unes des autres, idéalement sous la forme de processus autonomes. L'isolation au niveau des threads est également autorisée ;
  • les navigateurs doivent être codés à l'aide de langages de programmation prenant en charge les protections de mémoire de pile et de tas ;
  • le fournisseur de navigateur doit fournir des mises à jour de sécurité au plus tard 21 jours après la publication d'une faille de sécurité. Si le fournisseur de navigateur principal ne fournit pas de mise à jour de sécurité, les entreprises doivent passer à un nouveau navigateur ;
  • les navigateurs doivent utiliser des protections de la mémoire du système d'exploitation telles que la randomisation du format d'espace d'adresse ou la prévention de l'exécution des données (DEP) ;
  • les administrateurs d'organisation doivent être en mesure de réglementer ou de bloquer l'installation de modules complémentaires / extensions non autorisés.



Selon la BSI, Firefox est le seul navigateur à prendre en charge toutes les exigences ci-dessus. Les domaines dans lesquels d'autres navigateurs ont échoué sont les suivants:
  • manque de prise en charge d'un mécanisme de mot de passe principal (Chrome, IE, Edge)
  • pas de mécanisme de mise à jour intégré (IE)
  • aucune option pour bloquer la collecte de télémétrie (Chrome, IE, Edge)
  • pas de support SOP (Same Origin Policy) (IE)
  • pas de support CSP (Content Security Policy) (IE)
  • pas de support SRI (Subresource Integrity) (IE)
  • pas de support pour les profils de navigateur, différentes configurations (IE, Edge)
  • manque de transparence organisationnelle (Chrome, IE, Edge)

Source : BSI

Et vous ?

Que pensez-vous de la liste des exigences minimales requises dressée par la BSI ?
Êtes-vous surpris des résultats ?
Quel navigateur utilisé vous (au bureau, à domicile) ?
Qu'est-ce qui vous a principalement orienté vers ce choix ?
Cet audit est-il susceptible de vous faire vous tourner vers Firefox ?

Voir aussi :

Cloudflare, Google Chrome et Firefox ajoutent le support HTTP/3, donnant ainsi un coup de pouce dans l'adoption rapide de la prochaine version du protocole HTTP
Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant, car c'est très mauvais pour nous tous, à bien des égards
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut et propose le blocage de la lecture automatique des médias

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 18/10/2019 à 13:47
Le DoH augmente la sécurité dans tous les cas, il s'agit d'encrypter une comunication. La polémique est sur le serveur de DNS choisi par défaut (celui de Firefox) et sur le fait que peu de DNS supportent encore le DoH donc cela augmente l'obligation d'aller vers les rares qui l'implémentent. Mais dans tous les cas les grandes entreprises et services nationaux sont configurés pour aller vers un DNS maison, comme c'est le cas dans cette étude.
6  0 
Avatar de Kulvar
Membre actif https://www.developpez.com
Le 21/10/2019 à 10:11
Citation Envoyé par Kapeutini Voir le message
Il réagit bizarrement avec certaines vidéos sur youtube, je n'aime pas.
Chrome fonctionne mieux pour cela.
Parce que Google possède YouTube et oblige les développeurs de YouTube a faire du sabotage de sorte que YouTube fonctionne mieux sous Chrome ?
https://www.developpez.com/actu/5066...son-OS-mobile/
https://www.developpez.com/actu/2166...Google-Chrome/
https://www.developpez.com/actu/2383...utot-un-bogue/
5  0 
Avatar de emilie77
Membre averti https://www.developpez.com
Le 18/10/2019 à 9:32
Olala super Firefox!
4  0 
Avatar de JeanYvette
Membre averti https://www.developpez.com
Le 18/10/2019 à 11:15
Il est dommage d'avoir un début disant que Firefox est le seul à avoir eu un sans faute [...] alors qu'au final certains navigateurs n'ont pas été testé.
Je ne dis pas que cela aurait changé la finalité, mais je trouve que ca amoindri l'impact de l'étude.

(L'utilisateur de vivaldi est blessé dans son petit cœur...)
5  1 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 18/10/2019 à 13:24
Citation Envoyé par eldran64 Voir le message
Et le DOH avec Netscape en serveur par défaut on en parle?
Cloudflare plutôt, non ?

Dans tout les cas, cela n'a aucun impact sur l'audit, car le DOH n'est pas encore à l'ordre du jour dans Firefox (et encore plus sur la version testée - 68 ESR)
2  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 18/10/2019 à 15:56
Citation Envoyé par abriotde Voir le message
Le DoH augmente la sécurité dans tous les cas, il s'agit d'encrypter une comunication. La polémique est sur le serveur de DNS choisi par défaut (celui de Firefox) et sur le fait que peu de DNS supportent encore le DoH donc cela augmente l'obligation d'aller vers les rares qui l'implémentent. Mais dans tous les cas les grandes entreprises et services nationaux sont configurés pour aller vers un DNS maison, comme c'est le cas dans cette étude.
Sur le papier, c'est alléchant, mais il y a encore un point peu clair pour moi concernant cette fonctionnalité : comment cela se comportera-t-il avec les serveurs DNS privés (internes) ? Par exemple, avec une entreprise ou un particulier qui a mis en place sont propre DNS et gère des entrées propres à son Intranet.

Quid aussi du fichier HOSTS ? Tout sera-t-il court-circuité par le DOH ?
1  0 
Avatar de eldran64
Membre éprouvé https://www.developpez.com
Le 18/10/2019 à 10:57
Et le DOH avec Cloudflare en serveur par défaut on en parle?
0  0 
Avatar de eldran64
Membre éprouvé https://www.developpez.com
Le 18/10/2019 à 13:32
Citation Envoyé par Volgaan Voir le message
Cloudflare plutôt, non ?

Dans tout les cas, cela n'a aucun impact sur l'audit, car le DOH n'est pas encore à l'ordre du jour dans Firefox (et encore plus sur la version testée - 68 ESR)
Exact c'est Cloudflare, j'ai corrigé mon post.
Et pour le DOH ça va finir par être mis par défaut à terme.
0  0 
Avatar de Kapeutini
Membre habitué https://www.developpez.com
Le 18/10/2019 à 19:25
Il réagit bizarrement avec certaines vidéos sur youtube, je n'aime pas.
Chrome fonctionne mieux pour cela.
0  0 
Avatar de weed
Membre éprouvé https://www.developpez.com
Le 19/10/2019 à 0:14
Kapeutini, aurais tu quelques exemple de vidéo un peu bizzare sous firefox?
0  0