(Redirigé depuis How does content that isn't secure affect my safety?)
Firefox vous protège des
attaques en bloquant le contenu potentiellement malveillant et non
sécurisé des pages web qui sont censées être sûres. Poursuivez la
lecture pour en apprendre plus sur le contenu mixte et savoir quand
Firefox l'a bloqué.
Quand vous naviguez sur une page dont le serveur est pleinement HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ? pour les détails). Cela signifie que votre connexion est authentifiée et chiffrée, par conséquent, protégée des écoutes et des attaques de l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est sur un serveur HTTPS. Quand une page HTTPS a des données HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie chiffrée et même si elle semble être sécurisée, elle ne l'est pas.
Qu'est-ce que le contenu mixte ?
HTTP est un protocole de transmission des informations d'un serveur web vers votre navigateur. HTTP n'est pas sécurisé, donc quand vous naviguez sur une page via HTTP, votre connexion est ouverte aux écoutes et aux attaques. La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n'ont donc pas besoin d'être sécurisées.Quand vous naviguez sur une page dont le serveur est pleinement HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ? pour les détails). Cela signifie que votre connexion est authentifiée et chiffrée, par conséquent, protégée des écoutes et des attaques de l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est sur un serveur HTTPS. Quand une page HTTPS a des données HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie chiffrée et même si elle semble être sécurisée, elle ne l'est pas.
Note : Pour plus d'informations sur le contenu mixte (actif et passif), visitez cet article de blog en anglais.
Quels sont les risques des contenus mixtes ?
Un pirate peut remplacer les données HTTP de la page afin de voler vos identifiants, s'emparer de votre compte, acquérir des données sensibles vous concernant, modifier le contenu de la page ou tenter d'installer des logiciels malveillants sur votre ordinateur.Comment puis-je savoir qu'une page contient du contenu mixte ?
Vérifiez si l'icône ci-contre est présente dans votre barre d'adresse pour déterminer si la page contient du contenu mixte.Pas de contenu mixte : sûr
- : vous verrez un cadenas vert lorsque vous êtes sur une page entièrement sécurisée qui ne tente pas de charger des éléments non sécurisés.
Contenu mixte bloqué : sûr
- : vous verrez un cadenas vert avec un triangle d'avertissement gris lorsque Firefox a bloqué les éléments non sécurisés sur cette page. Cela signifie que la page est désormais sûre. Cliquez sur l'icône pour afficher le centre de contrôle et obtenir plus de détails de sécurité sur la page.
Contenu mixte pas bloqué : pas sûr
- : si vous voyez un cadenas barré en rouge, c'est que Firefox ne bloque pas les éléments non sécurisés, que cette page est vulnérable aux écoutes et aux attaques, et que vos données personnelles à partir du site peuvent vous être volées. Vous ne devriez pas voir cette icône, sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante.
- : un cadenas gris avec un triangle orange indique que Firefox ne bloque pas le contenu passif non sécurisé. Les pirates peuvent être capables de manipuler des parties de la page, par exemple en affichant du contenu falsifié ou inapproprié, mais ils ne devraient pas pouvoir voler vos données personnelles à partir du site.
Débloquer le contenu mixte
Débloquer les éléments non sécurisés n'est pas recommandé, mais cela peut être fait si nécessaire :- Cliquez sur l'icône en forme de cadenas dans la barre d'adresse.
- Cliquez sur la flèche dans le centre de contrôle :
- Cliquez sur
Avertissement : débloquer le contenu mixte peut vous rendre vulnérable aux attaques.
Développeurs : si votre site web provoque des erreurs de sécurité en raison de contenus non sûrs, consultez cet article de MDN : Régler le problème du contenu mixte dans un site web.
* SSL Checker online : https://www.jitbit.com/sslcheck/#
Régler le problème du contenu mixte dans un site web
Cette page vous explique à quoi vous devez être attentif en tant que développeur web.
Votre site web risque d'être cassé
Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si lesiframes
ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.
Remarque : comme les contenus mixtes sont déjà
bloqués par Chrome et Internet Explorer, si votre site fonctionne avec
ces deux navigateurs, il y a de grandes chances qu'il fonctionne
également avec Firefox avec le blocage du contenu mixte.
Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web
(activez-la à partir des messages de sécurité) et de regarder si elle
signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un
sytème d'analyse en ligne comme SSL-check
qui parcourt tout votre site web de façon récursive et détecte les
liens vers du contenu non sûr. Si aucune alerte à du contenu mixte
n'apparaît, votre site web est en bonne santé : bravo et continuez à
produire des sites web de bonne qualité !Comment régler le problème
Le meilleur moyen d'éviter le blocage du contenu mixte c'est de proposer l'intégralité de vos contenus via le protocole HTTPS au lieu d'HTTP.Pour votre propre domaine, diffusez tous les contenus en HTTPS et modifiez vos liens. Il arrive souvent que la version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s » au lien : http:// devient https://.
Pour un autre domaine, utilisez la version HTTPS si elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de contacter l'administrateur du domaine et lui demander de rendre ses contenus disponibles via HTTPS.