Mozilla a fait machine arrière avec la version 74 de Firefox. Cette mouture devait acter la mise à l’écart des deux plus anciennes normes d’un protocole de sécurité. Mais des enjeux d’accès à l’information en cette période de crise sanitaire ont conduit l’organisation à revenir sur sa décision.

L’épidémie de coronavirus engendre des effets insoupçonnés dans le monde des logiciels. Non seulement elle force les équipes à mettre en pause le déploiement de nouvelles versions de leurs programmes — comme des navigateurs, à l’image de Google Chrome et de Microsoft Edge –, mais en plus elle oblige au rétropédalage. Une illustration avec Mozilla, qui supervise le développement de Firefox.

Le 10 mars sortait Firefox 74. Dans les notes de mises à jour, on pouvait lire la liste des nouveautés, des modifications et des correctifs de sécurité. Mais surtout, en bas de page, l’internaute apprenait la désactivation de TLS 1.0 et 1.1. « Les sites qui ne prennent pas en charge la version 1.2 de TLS afficheront désormais une page d’erreur », était-il spécifié. Mais depuis, cette mesure a été annulée.

De quoi parle-t-on exactement ? TLS, un sigle signifiant Transport Layer Security, est un protocole servant à sécuriser les connexions sur le net. Évolution d’un précédent protocole, SSL (Secure Socket Layer), il a connu quatre normes au fil du temps : TLS 1.0 (en 1999), 1.1 (2006), 1.2 (2008) et 1.3 (2018). Or, de l’avis des spécialistes en sécurité informatique, TLS 1.0 et 1.1 ne font plus l’affaire.

OMS

Pour le grand public, il existe de nombreux sites officiels délivrant des informations vérifiées sur le coronavirus. Ici, le site de l’OMS.

Un revirement provisoire

À l’automne 2018, donc quelques mois après la publication de la version finale de TLS 1.3, les grands navigateurs web (Chrome, Edge, Firefox, Safari) ont décidé de délaisser TLS 1.0 et 1.1 en 2020. Dans le cas de Mozilla, la mise à l’écart était prévue pour la mi-mars. Mais patatras : l’épidémie de coronavirus a rebattu les cartes et poussé l’organisation à revenir en arrière, au moins pour quelque temps.

Sur les notes de mise à jour, toute la partie dédiée à TLS est désormais barrée. Un nouveau texte statue que « nous avons inversé ce changement pour une durée indéterminée afin de permettre un meilleur accès aux sites gouvernementaux clés partageant des informations sur le Covid-19 ». Cela concernera aussi au moins la prochaine version de Firefox, si l’on en croit une publication sur Twitter.

Au regard de l’urgence sanitaire, il apparaîtrait en effet inopportun de présenter une page d’erreur aux internautes se connectant à un site gouvernemental pour se renseigner sur la crise, simplement parce que la version de TLS est trop ancienne. Même si cela suppose un pas en arrière en termes de sécurité, les enjeux de santé publique actuels sont tels qu’ils l’emportent sur toute autre considération.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !