Firefox 64 est disponible au téléchargement. Avec cette mouture, un changement est à noter : les certificats électroniques de sécurité émis par Symantec ne sont plus jugés sûrs. Cela pourrait avoir un impact sur la navigation des internautes.

L’année s’achève. Mais avant de passer à 2019, la fondation Mozilla a publié une toute dernière grande mise à jour de Firefox pour 2018, le 11 décembre. Avec cette mouture, les internautes utilisant ce navigateur accéderont à de nouvelles fonctions, comme la recommandation d’éléments contextuels, l’organisation d’onglets multiples ou les extensions conseillées.

Les notes de mise à jour sont disponibles en anglais à cette adresse.

Mais il est un changement en particulier qu’il convient de relever avec l’arrivée de Firefox 64, même si celui-ci est relativement technique. En effet, on apprend que « les certificats TLS émis par Symantec ne sont plus reconnus par Firefox. Les opérateurs de sites web sont vivement encouragés à remplacer tout certificat Symantec TLS restant dès que possible ».

cadenas
Symantec n’est plus vu comme un tiers de confiance pour les certificats TLS. darkday

Des certificats déqualifiés

De quoi s’agit-il ? Des certificats électroniques qui servent à valider la fiabilité de la liaison sécurisée qui est établie entre l’internaute et le site sur lequel il se rend, par exemple sur le site de sa banque, sa messagerie électronique ou son e-marchand préféré. Cette sécurité est généralement matérialisée par le « s » dans le sigle HTTP de la barre d’adresse et par un cadenas fermé de couleur verte.

Cet abandon des certificats TLS émis par Symantec n’est pas tout à fait une surprise. La fondation Mozilla, tout comme Google d’ailleurs, indiquait en début d’année son intention prochaine de ne plus leur faire confiance. La raison ? Des problèmes ont été relevés dans la façon de procéder de l’entreprise, ce qui a fini par pousser les deux navigateurs à s’en éloigner.

Depuis, d’autres acteurs ont également jugé Symantec comme n’étant plus un tiers de confiance fiable, à l’image d’Apple.

Si vous naviguez sur le web avec Firefox, Chrome ou Safari, vous pouvez donc être confrontés à une situation particulière, où le navigateur vous alerte d’un risque sur des sites censés être sûrs. C’est parce que ces sites n’ont pas (encore) mis à jour leurs règles de sécurité et utilisent encore les certificats électroniques de Symantec. Cependant, ils sont de moins en moins nombreux à le faire.

TLS Firefox
L’évolution de l’usage des certificats Symantec chez les principaux sites, selon Mozilla. // Source : Mozilla

Mises à jour des sites

Le 30 juillet, Mozilla indiquait qu’environ 1 % des sites étaient dans cette situation, selon les statistiques collectées à travers Firefox. Ces chiffres dataient alors du mois de mars. Le 9 mai, ce chiffre est tombé à 0,15 %. La fondation se félicitait alors du recul spectaculaire en l’espace de quelques mois. Cependant, il était aussi relevé que 3,5 % des sites les plus populaires (un million de sites) misaient encore sur Symantec.

Par souci d’accorder un peu plus de temps aux gérants des plus gros sites, Mozilla a pris la décision en octobre de retarder l’échéance de quelques mois. En date du 10 octobre, il était indiqué que plus de 1 % de ce million de sites web utilisaient encore un certificat Symantec qui ne sera plus jugé fiable dans quelques temps. Aussi la fondation a-t-elle jugé qu’un report ponctuel et limité constituait un bon compromis.

Mais depuis le 11 décembre, pour celles et ceux qui ont basculé sur Firefox 64, le  délai a pris fin. Cela n’est évidemment pas le cas pour les internautes qui n’ont pas fait la mise à jour vers cette nouvelle mouture. Si vous faites face à une alerte de sécurité, il est donc possible que celle-ci soit en lien avec cet abandon des certificats de Symantec.

Partager sur les réseaux sociaux