Archive pour le mot-clef ‘Navigateur’

Firefox se dotera bientôt d’une sécurité contre le « drive-by download »

Samedi 5 septembre 2020

Firefox, le navigateur de Mozilla, se dotera d’une nouvelle fonction de sécurité sur Firefox en octobre. Celle-ci doit protéger ses utilisateurs contre le « drive-by download » et tous les désagréments qui en découlent.

Mozilla vient d’annoncer le lancement d’une nouvelle fonction de sécurité sur Firefox pour octobre. Celle-ci rendra plus difficile pour les pages web malveillantes de lancer des téléchargements automatiques et de placer des fichiers contenant des logiciels malveillants sur l’ordinateur d’un utilisateur. Appelé « drive-by download », ce type d’attaque existe depuis deux décennies et se produit généralement lorsque les utilisateurs visitent un site web qui contient un code malveillant placé là par un attaquant.

Le rôle du code malveillant est d’abuser des fonctionnalités légitimes des navigateurs et des normes web pour lancer un téléchargement automatique de fichiers ou une invite de téléchargement, dans l’espoir de tromper l’utilisateur et de l’amener à exécuter un fichier malveillant. Il existe de multiples formes de téléchargements « drive-by », selon la fonction du navigateur que les attaquants décident d’utiliser.

Les navigateurs tels que Chrome, Firefox et Internet Explorer ont, au fil des ans, progressivement déployé diverses formes de protection contre les téléchargements automatiques, mais une protection à 100 % ne peut pas être totalement réalisée, parce que les fabricants des navigateurs ne peuvent pas bloquer totalement les fonctionnalités web légitimes, et aussi en raison du paysage changeant des cyberattaques, les attaquants trouvant toujours un nouveau trou à percer.

Source : zdnet.com

Le nouveau Firefox pour Android est arrivé (et il fait débat)

Lundi 31 août 2020

Firefox Daylight est là. Lancée le 27 août dernier, la dernière version du navigateur Firefox pour Android adopte une nouvelle interface, qui en déstabilise plus d’un. Voici ce qui change.

Les utilisateurs de la version de développement, Firefox Preview, ne seront pas vraiment dépaysés. Pour les autres, Firefox pour Android adopte sa nouvelle interface depuis quelques jours… et c’est un solide changement qui s’impose à eux.

Ces nouveautés ne sont pas goût de toute le monde. La preuve ? Ces nombreux commentaires postés sur le Play Store : « Je ne trouve plus rien, naviguer dans les onglets est super compliqué » ou encore « cette nouvelle mise à jour est déplorable. Pas du tout pratique« .

Tout changement impose du temps et de la patience, mais la Fondation tient à rassurer ses utilisateurs : tout a été révisé à l’intérieur pour de meilleures performances, une rapidité accrue et des outils de protection à jour.

Firefox for Android « Daylight » : ce qui change

La nouvelle version du navigateur Firefox pour Android introduit une nouvelle interface utilisateur, de nouvelles options de personnalisation et de sécurité et des changements en profondeur dans le code de l’application.

Les nouveautés en résumé :

Passage au moteur GeckoView ;
Possibilité de placer la barre de recherche en haut ou en bas de l’application ;
Protection contre la fraude et le pistage, activée par défaut, avec une reconnaissance de plus de 2.000 traqueurs en ligne ;
Des collections pour les onglets avec la technologie Pocket ;
Le choix du mode sombre ou clair ;
Plusieurs choix de moteur de recherche ;
Incrustation vidéo native ;
Installation de modules d’extension complémentaires (plugins, greffons) depuis l’application ;

La Fondation Mozilla a publié une vidéo en français pour expliquer ces changements : Vidéo

Firefox peut être téléchargé depuis le Play Store de Google ou encore APK Pure pour ceux qui ne disposent pas des services Google sur leur smartphone. Cette version ne se trouve pas sur F-Droid, où vous pourrez tout de même trouver Fennec et Klar.

Firefox pour Android (Google Play Store)
FAQ et assistance

Source toolinux.com

Firefox chiffre désormais les requêtes DNS, voici comment l’activer

Dimanche 30 août 2020

Firefox propose désormais le DNS over HTTPS, un protocole qui remplace le DNS classique pour réduire le risque d’interception de vos données personnelles de navigation. La fonctionnalité est dorénavant activée par défaut – Mozilla explique que ce sera à terme le cas dans plus de pays. Il est néanmoins possible d’activer manuellement le DNS over HTTPS dans Firefox si vous souhaitez renforcer la sécurité de vos données.

DNS over HTTPS est un nom vraiment barbare pour décrire finalement quelque chose d’assez simple. Lorsque vous entrez une adresse web dans votre navigateur ou cliquez sur un lien, le nom de domaine et ses sous-domaines sont transformés en une adresse IP par le serveur DNS. Ce dernier peut être celui de votre fournisseur d’accès internet ou un fournisseur tiers – que vous avez paramétré sur votre routeur ou sur votre machine. Ainsi, l’adresse http://www.phonandroid.com est transformée en 104.25.191.29 sans que vous ne vous en rendiez compte, une fraction de seconde avant que la page d’accueil de notre site commence à se charger.

Les DNS classiques ne sont pas sécurisés

Cette adresse IP n’est normalement pas visible dans la barre d’adresse – mais vous pouvez tout à fait remplacer si vous le désirez https://www.phonandroid.com/ par https://104.25.191.29/ sans que cela ne fasse la moindre différence dans le chargement de la page. Or, il y a tout de même un problème côté sécurité. Notre site est en HTTPS, ce qui signifie que le trafic qui transite entre nos serveurs et votre machine est en permanence chiffré. Il est donc a priori très difficile pour un acteur malveillant de savoir quelles pages vous visitez sur notre site. Sauf qu’en réalité, ce n’est pas le cas, à cause de vos serveurs DNS.

Dès que vous cliquez sur un lien, la requête est en effet transmise en clair au premier serveur DNS configuré disponible sur votre machine. Ainsi il devient possible pour un pirate d’intercepter ces requêtes et donc connaitre toutes les pages que vous avez visitées sur internet. En activant le protocole DNS over HTTPS Firefox vous permet de chiffrer toutes ces requêtes via HTTPS et donc de rendre toute attaque ou interception presque impossible. Mozilla explique dans un billet de blog : « A la création d’internet, ce genre de menaces envers la vie privée et sécurité des gens était connu, mais n’était pas encore exploité ».

Et Mozilla d’ajouter : « On sait aujourd’hui que les DNS en clair sont non seulement vulnérables à l’espionnage mais sont aussi activement exploités, c’est pourquoi nous aidons internet à passer à des alternatives plus sécurisées ». Le DNS over HTTPS permet selon Mozilla de « d’empêcher des attaquants sur le même réseau de voir votre historique de recherche, d’aider à prévenir la collecte de données par des tiers […] qui lient votre ordinateur aux sites que vous visitez ».

La fonctionnalité est désormais activée par défaut sur le navigateur, mais uniquement aux Etats-Unis. Mozilla explique néanmoins réfléchir à une mesure similaire sur d’autres marchés (dont peut-être la France).

Il est néanmoins possible d’activer dès maintenant le DNS over HTTPS dans Firefox :

Comment activer dès maintenant le DNS over HTTPS dans Firefox

Pour cela :

Ouvrez Firefox (et mettez-le à jour si nécessaire)

Allez dans le menu « hamburger » (≡) en haut à droite

Allez dans Préférences

Descendez tout en bas de la page de l’onglet Général

Dans la section Paramètres réseau cliquez sur Paramètres…

Descendez tout en bas de la page

Cochez la case Activer le DNS over HTTPS

Dans la liste Utiliser le fournisseur, choisissez CloudflareNextDNS, ou un fournisseur personnalisé.

Cliquez sur OK

Source  mozilla

Protection renforcée contre le pistage dans Firefox

Mercredi 19 août 2020

Début août, Mozilla annonçait la version 2.0 de la Protection renforcée contre le pistage (ETP). Elle est intégrée directement à Firefox 79, sur Windows, Linux et macOS.

L’an dernier, la Protection renforcée contre le pistage a été activée par défaut dans Firefox. Depuis lors, Firefox aurait bloqué rien moins que… 3,4 trillions de cookies de suivi. Il fallait s’en douter, le secteur de la publicité a trouvé « d’autres façons de pister les internautes en créant des solutions alternatives et de nouveaux moyens pour collecter les données« .

Le 4 août dernier, Firefox a donc officialisé la version 2.0 de cette technologie baptisée ETP, destinée à offrir une « expérience de navigation sécurisée et privée« . Le déploiement de cette nouvelle version est en cours.

Quoi de neuf dans ETP version 2 ?

Mozilla explique que cette nouvelle version protège les internautes « contre une technique de suivi avancée appelée pistage par redirection, également appelée pistage par rebond« .

« Avec la version 2.0, les utilisateurs et utilisatrices de Firefox seront désormais protégés contre ces méthodes puisque les cookies et les données des sites provenant de ces traqueurs seront vérifiés et supprimés chaque jour. La nouvelle version empêche les traqueurs identifiés d’avoir accès à vos informations, même ceux des sites que vous avez visités par inadvertance. ETP 2.0 supprime les cookies et les données des sites de pistage toutes les 24 heures. »

Blog dédié à la sécurité de Firefox

Source toolinux.com

Mozilla licencie 250 employés

Jeudi 13 août 2020

« Notre plan pré-COVID n’est plus réalisable » a expliqué la PDG Mitchell Baker. La Mozilla Corporation entend se recentrer sur ses produits commerciaux.

La Mozilla Corporation a annoncé aujourd’hui qu’elle licenciait environ 250 membres de son personnel afin de consolider l’avenir financier de l’organisation.

Les licenciements ont été annoncés publiquement dans un article de blog aujourd’hui. Les employés ont été informés quelques heures auparavant par un email [PDF] envoyé par Mitchell Baker, PDG de Mozilla Corporation et présidente de la Fondation Mozilla.

Le message de M. Baker mentionnait la nécessité pour l’organisation d’adapter ses finances à un monde post-COVID-19 et de recentrer l’organisation sur de nouveaux services commerciaux.

Baker a déclaré qu’après le début de la pandémie COVID-19, Mozilla a tenté de minimiser l’impact financier de la crise via « des mesures d’économie immédiates telles que l’interruption de nos embauche, la réduction de notre allocation de bien-être et l’annulation de nos réunions ».

Cependant, Baker a déclaré que le « plan pré-Covid » de Mozilla n’etait plus réalisable.

« Nous avons parlé de la nécessité d’un changement – y compris de la probabilité de licenciements – depuis le printemps. Aujourd’hui, ces changements deviennent une realité », a déclaré le PDG de Mozilla.

« Nous réduisons la taille de la main-d’œuvre de MoCo (Mozilla Corporation, organisation differente de la Fondation Mozilla, ndlr) d’environ 250 postes,ce qui comprend la fermeture de nos opérations actuelles à Taipei, Taiwan. Une soixantaine de personnes supplémentaires changeront d’équipe. Les personnes concernées par cette réduction sont à la fois de véritables Mozilliens et des professionnels hautement qualifiés, compétents et engagés. Cette action n’est en aucun cas une réflexion sur les qualités personnelles ou professionnelles « .

M. Baker a déclaré que les 250 employés et plus qui ont été licenciés aujourd’hui recevront une indemnité de départ pour le reste de l’année, ainsi que des primes pour le premier semestre 2020.

L’entreprise prévoit également de publier un « annuaire des talents » où elle compte faire connaître les compétences et l’expérience des membres du personnel qu’elle licencie aujourd’hui (si les employés acceptent que leur nom y figure).

À l’avenir, M. Baker a déclaré que Mozilla allait également repenser son modèle commercial de base et se concentrer davantage sur des produits financièrement viables.

« Reconnaître que l’ancien modèle où tout était gratuit a des conséquences, signifie que nous devons explorer une série d’opportunités commerciales différentes et d’autres échanges de valeurs », a déclaré M. Baker.

« Nous devons apprendre et développer de nouvelles façons de nous soutenir et de construire une entreprise qui n’est pas ce que nous voyons aujourd’hui. »

Cela inclut très probablement une plus grande attention à l’offre VPN de Mozilla, que Mozilla a officiellement lancée le mois dernier. Les applications de réseau privé virtuel (VPN) sont aujourd’hui l’une des plus grandes sources de revenus dans le domaine de la technologie, et Mozilla, malgré son arrivée tardive sur le marché, est en passe de devenir l’un des plus grands acteurs du marché, principalement en raison de sa réputation d’organisation privilégiant le respect de la vie privée et de défenseur des droits civils.

En outre, le contrat de Mozilla avec Google pour inclure Google comme fournisseur de recherche par défaut dans Firefox doit expirer plus tard cette année. Celui ci n’ayant pas été renouvelé, cela devrait paralyser le futur budget de l’organisation en 2021

Source : zdnet.com

Firefox 79 : exporter ses mots de passe est possible

Jeudi 30 juillet 2020

Le navigateur Firefox 79 est arrivé sur les serveurs ftp de Mozilla. Il sera déployé dès aujourd’hui via la fonction de mise à jour automatique du navigateur. Voici les nouveautés principales.

Le navigateur Mozilla Firefox 79 est déjà disponible. Il comporte, entre autres, un outil d’exportation de ses mots de passe. Il fallait jusqu’ici utiliser une extension un outil pour réaliser cette opération.

Exporter ses mots de passe depuis Firefox

Pour exporter ses mots de passe depuis Firefox, trois solutions sont possibles :

1. via la barre d’adresse : tapez l’adresse « about:logins » ;
2. via les menus du navigateur : allez dans Préférences, puis dans le menu Vie Privée et Sécurité. Ensuite, dans Identifiants et mots de passe, choisissez l’option Identifiants enregistrés. Sur cette nouvelle page, cliquez sur le menu «  » en haut à droite et choisissez Exporter les identifiants ;
3. Via Firefox Lockwise grâce à une option Export Logins ou Exporter les identifiants.

Bon à savoir : le fichier produit sera un fichier CSV, lisible par n’importe qui. Soyez vigilants : une fois le fichier utilisé, détruisez-le ou placez-le en lieu sûr.

Support de macOS : ce qui change

Dans la liste des changements dévoilée durant le cycle bêta, on apprend que Firefox 79 ne prendra plus en charge d’anciennes versions de macOS (10.9, 10.10 et 10.11). Solution : utiliser Firefox ESR 78.x pour continuer de recevoir des mises à jour de sécurité du navigateur.

Obtenir Firefox 79

Il est possible de télécharger Firefox 79.0 pour macOS, Linux et Windows – si vous utilisez le canal « stable » du navigateur – depuis le serveur ftp de la Fondation Mozilla ou via la fonction de mise à jour automatique de Firefox (si vous utilisez le canal « stable »).

Source toolinux.com

Firefox Relay : alias et bouclier pour protéger son adresse e-mail

Jeudi 23 juillet 2020

Le moins que l’on puisse dire, c’est que la Fondation Mozilla ne cesse d’innover. Après son VPN, voici Firefox Relay, un service visant à préserver la confidentialité de votre adresse e-mail.

Firefox Relay, c’est quoi ?

Firefox Relay génère un alias d’e-mail pour garder sa véritable adresse électronique hors des listes de spam et loin des entreprises douteuses. Le service agit comme une boîte postale pour votre adresse physique.

Lorsqu’un formulaire nécessite votre adresse e-mail, mais que vous préférez ne pas la partager, Firefox Relay vous permet de créer un alias.

Firefox Relay redirige alors les courriels de l’alias vers votre véritable boîte de réception, en maintenir sa véritable adresse e-mail cachée.

Comment s’inscrire

Firefox Relay est actuellement en phase bêta expérimentale et fermée. Le service est gratuit pour l’instant, mais pourrait devenir payant comme le récent VPN lancé par la Fondation (voir notre article du 20 juillet).

Si vous souhaiter tester Firefox Relay, inscrivez-vous et recevez une invitation pour l’essayer grâce à votre compte Firefox.

Que faire si un alias Firefox Relay est compromis ?

Si vous utilisez un alias de messagerie avec Firefox Relay et qu’une fuite de données a lieu, vous pouvez éviter de compromettre la sécurité de votre adresse e-mail. Pour cela, vous pouvez désactiver ou supprimer l’alias. Votre adresse électronique principale est alors protégée.

Site web et liste d’attente (en anglais).

Source toolinux.com

Le VPN de Mozilla vient de sortir : est-il disponible pour vous ?

Jeudi 23 juillet 2020

En test aux Etats-Unis depuis plusieurs mois, le VPN de Mozilla est arrivé. La version finalisée est disponible dans quelques pays, dont le Royaume-Uni. Le service est payant.

Sortie de Mozilla VPN : où et quand ?

La sortie de Mozilla VPN est officielle depuis le 15 juillet aux États-Unis, au Canada, au Royaume-Uni, à Singapour, en Malaisie et en Nouvelle-Zélande. L’expansion internationale se poursuivra cet automne (en Europe notamment).

Il est possible de s’inscrire sur la liste d’attente.

Combien coûte Mozilla VPN ?

Le prix de Mozilla VPN est de 4,99$ par mois (environ 4,5€ par mois). Cette offre comprend un accès à des serveurs dans plus de 30 pays, pour 5 terminaux maximum. Le trafic semble illimité.

Mozilla VPN, c’est quoi ?

L’objectif poursuivi par Mozilla dans cette aventure est la sécurisation des connexions à internet, mais aussi le respect de la vie privée des utilisateurs, loin d’être garanti par de très nombreux prestataires de VPN, parfois gratuits.

Disponibilité : et Linux ?

Pour l’heure, seuls les systèmes Windows 10, Android et iOS sont concernés, mais macOS et Linux sont également prévus dans les mois à venir. Une extension Firefox est proposée en bêta test, également. Sur la page d’inscription sur la liste d’attente, on voit également la présence de ChromeOS.

Capture d’écran

Voici une capture d’écran de Mozilla VPN pour Android :

Mozilla VPN

Source toolinux.com

Mozilla se débarrassera définitivement de Flash dans Firefox 84

Mardi 19 mai 2020

Cette fois, c’est la bonne. Flash, la technologie d’Adobe, réputée pour être une vraie passoire en termes de sécurité, tirera définitivement sa révérence en fin d’année 2020.

Et Mozilla d’annoncer que Firefox 84, l’une des prochaines versions majeures de son navigateur Web, ne prendra plus en charge le format Flash qui, de toute façon, est déjà désactivé par défaut sur les versions actuelles.

Firefox 84 tire un trait sur Flash

Prévu pour le mois de décembre 2020, Firefox 84 ne permettra plus, d’aucune façon, de lire du contenu Flash.

Une décision qui était attendue, étant donnée l’intention d’Adobe d’abandonner purement et simplement sa technologie à l’horizon 2021.

En lieu et place, Adobe et Mozilla encouragent ainsi les administrateurs du Web à transiter rapidement vers du HTML5 ou tout autre langage leur permettant d’animer leurs pages Internet sans pour autant compromettre la sécurité des utilisateurs.

Pourquoi tant de haine pour Flash ?

Conçu en 1996, Flash était alors un format révolutionnaire. Pensez donc : il permettait d’animer des pages Web afin de les sortir — enfin ! — de leur immobilisme glacial.

Si toutes les tentatives d’animations ne se sont pas souvent traduites par de grandes réussites esthétiques, Flash est surtout un programme capricieux, qui demande à l’utilisateur de le télécharger et le maintenir à jour pour pouvoir lire le contenu inclus sur les sites Web.

En 2010, Apple met au jour un certain nombre de problèmes liés à l’utilisation de Flash. Outre des failles de sécurité qui commencent à inquiéter, la technologie a aussi tendance à drainer énormément d’énergie, et à consommer beaucoup de mémoire vive. Résultat : Flash n’a plus droit de cité sur aucun appareil Apple. Radical.

Citons également d’énormes problématiques en termes de sécurité et de confidentialité des données (Flash peut exécuter du code malveillant, activer le microphone et la webcam sans le consentement de l’utilisateur, etc.).

Aussi l’industrie commença doucement sa transition vers le HTML5, un langage qui permet peu ou prou les mêmes choses, sans poser les problèmes précités.

Bref : une page du Web qui se tourne, à n’en pas douter. Mais il est permis de douter que Flash manque à qui que ce soit.

Source clubic.com

Firefox 76 : Firefox Lockwise protège mieux vos mots de passe

Samedi 9 mai 2020

La nouvelle version de Firefox propose de nouvelles fonctionnalités à son gestionnaire de mots de passe, pour une navigation plus sécurisée.

Mozilla a publié aujourd’hui Firefox 76 sur le canal Stable desktop pour Windows, MacOS et Linux. Cette nouvelle version est accompagnée de corrections de bugs, de patchs de sécurité et de nouvelles fonctionnalités.

Mais le point fort de cette nouvelle version, c’est surtout une suite de nouvelles fonctionnalités ajoutées au gestionnaire de mots de passe intégré de Firefox (Firefox Lockwise). Il est disponible sur about:logins, ou dans Paramètres > « Votre e-mail » > Identifiants et mots de passe. A partir de Firefox 76, les utilisateurs devront saisir les identifiants de leur compte MacOS ou Windows pour afficher quelque mot de passe en clair.

Mozilla a ajouté cette fonctionnalité à la demande de la communauté Firefox. Les utilisateurs se plaignaient en effet qu’il était simple pour un cyberattaquant d’attendre que l’utilisateur s’éloigne de son ordinateur pour accéder rapidement au gestionnaire de mots de passe intégré à Firefox, puis révéler et copier les mots de passe de l’utilisateur sur un morceau de papier.

Grâce à cette nouvelle fonctionnalité, il lui faudra également connaître les identifiants du système d’exploitation de l’utilisateur, ce qui réduit les chances de réussite d’une telle intrusion (connue sous le nom de scénario de « evil maid »).

Protection accrue des mots de passe

Mais ce n’est pas la seule fonctionnalité ajoutée à Firefox Lockwise dans la version 76. Le gestionnaire de mots de passe intégré à Firefox analyse désormais également tous les mots de passe stockés par l’utilisateur.

Mozilla indique que si l’un des mots de passe de l’utilisateur est identique à un mot de passe qui a été divulgué en ligne, Firefox affichera un avertissement à l’utilisateur, lui recommandant de changer le mot de passe, indiquant que ce dernier fait maintenant très probablement partie des listes du dictionnaire des mots de passe que les pirates utilisent pour des attaques par force brute.

Firefox Monitor

En outre, Lockwise a également bénéficié d’une troisième amélioration de la sécurité : l’intégration à Firefox Monitor, un service de Firefox qui permet aux utilisateurs de vérifier si leurs informations d’identification ont été divulguées en ligne.

A partir de Firefox 76, les utilisateurs recevront des alertes de Lockwise pour les sites qui ont connu une violation récente de la sécurité, et où l’on sait que les mots de passe ont été compromis, pour inviter les utilisateurs à modifier leurs informations d’identification.

Mozilla rassure les utilisateurs : Firefox ne connaît pas réellement leurs mots de passe, le navigateur fonctionne avec des versions cryptées des identifiants pour garder la vie privée des utilisateurs intacte.

Autres nouveautés

Voici donc les principales nouveautés de Firefox 76. Mais cette nouvelle version présente d’autres nouvelles options et d’importantes corrections de bugs, qui sont détaillés dans le journal officiel des modifications.

Les patchs de sécurité pour Firefox 76 seront listés sur cette page, dans les jours qui suivent, au fur et à mesure que les utilisateurs se mettront à jour avec la nouvelle version.

Les changements spécifiques aux développeurs web sont détaillés sur cette page.

Les utilisateurs de Firefox peuvent mettre à jour FIrefox vers la version 76 en utilisant l’outil de mise à jour intégré au navigateur, disponible dans Paramètres > Aide > A propos de Firefox.

Source : zdnet.com