Un service signé Mozilla teste la sécurité de sites Web

En gestation depuis des mois, le service Observatory de Mozilla est rendu public. Le service permet de tester gratuitement la sécurité de sites Web. Il s’adresse à tous les internautes, mais il cible avant tout les développeurs, qui peuvent contribuer au projet sur GitHub , et les administrateurs systèmes.

Pour établir un diagnostic, Observatory scanne le site à la recherche de mécanismes et protocoles de sécurité. Parmi lesquels : CSP (Content security policy), CORS (Cross-origin resource sharing), HPKP (HTTP public key pinning), HSTS (HTTP strict transport security), XFO (X-frame-options) ou encore la présence d’une redirection automatique de HTTP vers HTTPS.

Le service de Mozilla attribue ensuite une note de 0 à 100 ou plus (plus la note est élevée, mieux le site est protégé, en théorie). Puis, il la convertit en une note globale de A (très bon) à F (médiocre). Les sites testés peuvent faire l’objet d’un classement public, pour ceux qui le souhaitent.

91 % des sites échouent au test

D’après April King, ingénieure en sécurité chez Mozilla, Observatory a déjà testé 1,3 million de sites web. Et 91 % d’entre eux échouent au test, parmi lesquels « quelques-uns des sites les plus populaires dans le monde ».

« Quand 9 sites sur 10 ont une mauvaise note, il est clair que c’est un problème pour tout le monde… Y compris Mozilla – parmi nos milliers de sites, une grande partie ne passe pas le test. Et nous travaillons dur pour y remédier », a expliqué King dans un billet de blog. En fait, Observatory a déjà servi pour améliorer plusieurs sites de l’éditeur, dont addons.mozilla.org, bugzilla.mozilla.org et mozillians.org.

Mozilla Observatory vient rejoindre la liste des services gratuits de test de sécurité des sites web, parmi lesquels Qualys SSL Labs et Sucuri SiteCheck.

Lire aussi :

Une faille de sécurité dans TCP permet de pirater la plupart des sites Web

Navigateurs web : Mozilla Servo en test sous Linux et OS X