Firefox 70 vous avertira quand vos identifiants et mots de passe enregistrés sont compromis
Suite à une violation de données répertoriée

Le , par Christian Olivier

76PARTAGES

9  0 
Mozilla intègre peu à peu son service indépendant Firefox Monitor et le nouveau gestionnaire de mots de passe Firefox Lockwise directement dans Firefox. La fondation envisage également l’ajout de services premium basés sur ces fonctionnalités dans le futur.


À partir de Firefox 70, Firefox - le navigateur Web de Mozilla - pourrait avertir l’utilisateur lorsque l’un de ses identifiants de connexion sera trouvé dans une base de données qui collecte des identifiants volés provenant de comptes piratés. Cette vérification se fera par le biais d’un site Web partenaire « Have I Been Pwned? » (abrégé HIBP) spécialisé dans les cas de violations de données. Dans le cadre de cette initiative, Firefox analysera les identifiants de connexion et les mots de passe enregistrés et verra s’ils ont fait l’objet d’une violation de données répertoriée sur HIBP. S’il en trouve une, le navigateur alertera l’utilisateur et l’invitera à changer son mot de passe.

Il faut garder à l’esprit que cette nouvelle fonctionnalité permettra uniquement de détecter des mots de passe compromis associés à des violations de données antérieures répertoriées. Lorsque Firefox détectera qu’un compte enregistré a fait l’objet d’une violation, il ajoutera une icône d’alerte à côté du profil du compte dans Firefox Lockwise puis affichera une notification - « les mots de passe ont été divulgués ou volés » dans le cadre d’une violation de données - comme indiqué dans l’image ci-dessous.


Signalons au passage qu’en février dernier, HIBP a publié « Collection #1 », une base de données qui listait 773 millions adresses électroniques uniques en libre circulation sur un forum cybercriminel. D’après HIBP, « Collection #1 » représentait 87 Go de données issues de plus de 2000 violations de données individuelles.

Mozilla prévoit également d’afficher des statistiques sur le nombre de violations de données dont ont fait l’objet vos identifiants dans le prochain rapport de protection dédié au navigateur Web que publiera la société. Bien que les rapports de bogues ouverts indiquent que Mozilla cible Firefox 70 pour l’intégration de toutes ces nouvelles fonctionnalités de confidentialité et de sécurité, il est possible qu’elles ne soient pas prêtes à temps.


Personne n’est à l’abri d’une violation de données. Il est donc important de faire faire davantage d’efforts pour se protéger soi-même ou protéger son entreprise en suivant ces conseils simples :
  • utilisez un mot de passe aléatoire et différent pour chaque site ;
  • utilisez un gestionnaire de mots de passe ;
  • utilisez l’authentification à deux facteurs (2FA) ;
  • supprimez les comptes qui ne sont plus importants.


Source : bugzilla

Et vous ?

Que pensez-vous de cette initiative ?
Devrait-elle être reprise par les autres navigateurs Web ?

Voir aussi

Mozilla publie Firefox Quantum 68 et Firefox ESR 68 qui apportent des protections contre le cryptomining et le fingerprinting dans les préférences
Mozilla utilisera BITS et un agent de mise à jour dédié pour garder Firefox à jour sous Windows, même avec une connexion lente, à partir de Firefox 70
Mozilla publie Firefox 67.0.3 pour corriger d'urgence une faille zero day jaugée critique, qui est déjà exploitée par des cybercriminels
Mozilla veut une refonte complète de l'identité visuelle de Firefox et de ses services associés et dévoile de nouveaux logos pour la marque

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 18/07/2019 à 15:40
J'en dis que j'espère que cette option sera désactivable et surtout désactivée par défaut.
Je n'ai aucune envie que mes identifiants soient envoyés je ne sais où et pour en faire je ne sais quoi...

Si c'est pas le cas... Bye bye firefox...
1  0 
Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 18/07/2019 à 17:22
Oui, la ils me font un peu peur car ils n'indiquent absolument pas le processus de vérification.
Si tout se fait sur le PC, a la limite pourquoi pas, mais j'ai du mal a imaginer comment (surtout que la base de hashs du site est très lourde).
J'espère vraiment qu'il y aura plus de communication la dessus...
0  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 18/07/2019 à 18:12
Citation Envoyé par vohufr Voir le message
J'en dis que j'espère que cette option sera désactivable et surtout désactivée par défaut.
Je n'ai aucune envie que mes identifiants soient envoyés je ne sais où et pour en faire je ne sais quoi...

Si c'est pas le cas... Bye bye firefox...
Ça n'est pas risqué car seul l'identifiant est transmis, pas le code secret et pas la moindre autre info relative au site visité. Il se base sur la base de données Have I Been Powned. Vous pouvez vérifier la méthode de fonctionnement.
0  0 
Avatar de onilink_
Membre expérimenté https://www.developpez.com
Le 18/07/2019 à 19:32
Ben c'est pas vraiment ce qui est indiqué dans la news, même si effectivement juste avec l'adresse email il y aurait moyen de récupérer les hashs de pass hackés associés, et ensuite vérifier tout cela en local.
J'espère que c'est ce qu'ils comptent faire.
0  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 19/07/2019 à 7:27
Citation Envoyé par Uther Voir le message
Ça n'est pas risqué car seul l'identifiant est transmis, pas le code secret et pas la moindre autre info relative au site visité. Il se base sur la base de données Have I Been Powned. Vous pouvez vérifier la méthode de fonctionnement.
Ça ne change rien... L'adresse mail est une donnée confidentielle. On doit pouvoir choisir à qui on la distribue ou non.
0  0 

 
85 % du trafic Web de l'entreprise sont des services cloud
WordPress voudrait forcer la MàJ automatique des sites tournant sur des versions antérieures du CMS, afin de renforcer la sécurité d'Internet dans son ensemble
Les nouveautés de Visual Studio 2019, un tutoriel de Hinault Romaric
Cours complet Bootstrap 4 - Premiers pas, un tutoriel de Maurice Chavelli
Contacter le responsable de la rubrique Développement Web

Partenaire : Hébergement Web