Le blocage du contenu mixte avec Firefox

Firefox vous protège des attaques en bloquant le contenu potentiellement malveillant et non sécurisé des pages web censées être sûres. Poursuivez la lecture pour en apprendre plus sur le contenu mixte et savoir si Firefox l’a bloqué.

Qu’est-ce qu’un contenu mixte et quels sont les risques ?

HTTP est un protocole de transmission des informations d’un serveur web vers votre navigateur. HTTP n’est pas sécurisé, donc quand vous visitez une page transmise avec HTTP, votre connexion est ouverte aux écoutes et aux « attaques de l’homme du milieu ». La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n’ont donc pas besoin d’être sécurisées.

Quand vous visitez une page entièrement transmise en utilisant HTTPS, comme sur le site de votre banque, vous voyez une icône de cadenas vert Fx57GreenPadlock cadenas Fx70GreyPadlock dans la barre d’adresse (pour plus de détails, consultez l’article Comment puis-je savoir si ma connexion vers un site web est sécurisée ?). Cela signifie que votre connexion est authentifiée et chiffrée, et par conséquent protégée des écoutes et des attaques de l’homme du milieu.

Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est servie avec HTTPS. Quand une page HTTPS a une partie de son contenu en HTTP, on appelle cela du contenu « mixte ». La page n’est qu’en partie chiffrée et, même si elle semble être sécurisée, elle ne l’est pas. Pour davantage d’informations sur le contenu mixte (actif et passif), consultez cet article de blog en anglais.

Quels sont les risques des contenus mixtes ? Un pirate peut remplacer les données HTTP de la page visitée afin de voler vos identifiants, s’emparer de votre compte, obtenir des données sensibles vous concernant ou tenter d’installer des logiciels malveillants sur votre ordinateur.

Comment puis-je savoir qu’une page contient du contenu mixte ?

Il y a deux sortes de contenu mixte : le contenu mixte passif, affiché, et le contenu mixte actif. Leur différence réside dans le niveau de la menace. Vérifiez si l’icône représentant un cadenas est présente dans votre barre d’adresse pour déterminer si la page contient du contenu mixte.

FF70 Gray Padlock Fx69GreenPadlockWithShield

Note : l’icône représentant un bouclier Address bar shield présente dans la barre d’adresse vous indique quels traqueurs ont été bloqués dans le site web visité. Consultez l’article Blocage de contenuProtection renforcée contre le pistage pour plus d’informations.

Pas de contenu mixte : sûr

  • Gray padlock - Firefox 70 green lock 42  Vous verrez un cadenas grisvert lorsque vous êtes sur une page complètement sécurisée (HTTPS). Pour savoir si Firefox a bloqué des parties de la page qui ne sont pas sûres, cliquez sur l’icône de cadenas grisvert. Pour obtenir davantage d’informations, consultez la section Contenu mixte non bloqué ci-dessous.

Contenu mixte non bloqué : pas sûr

  • unblocked mixed content 42 Si vous voyez un cadenas barré de rouge, la page présente du contenu mixte actif et Firefox ne bloque pas ses éléments non sûrs. Cette page est vulnérable aux interceptions et aux attaques dans lesquelles vos données personnelles peuvent vous être volées à partir du site. Vous ne devriez pas voir cette icône sur une page sécurisée (HTTPS), sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante. Note : un cadenas barré de rouge est aussi affiché sur les sites web non chiffrés (HTTP ou FTP)une page de connexion non chiffrée (HTTP).
  • orange triangle grey lock 42  Un cadenas gris avec un triangle orange ou jaune indique que Firefox ne bloque pas le contenu passif non sécurisé, comme des images. Par défaut, Firefox ne bloque pas le contenu mixte passif, vous verrez simplement un avertissement prévenant que la page n’est pas totalement sûre. Les pirates sont susceptibles de manipuler des parties de la page, comme afficher du contenu falsifié ou inapproprié, mais ils ne devraient pas être en mesure de voler vos données personnelles à partir de ce site.

Pour davantage d’informations sur le contenu mixte actif et passif, consultez cet article de MDN web docs.

Débloquer le contenu mixte

Débloquer les éléments non sécurisés n’est pas recommandé, mais peut être fait si nécessaire :

  1. Cliquez sur l’icône en forme de cadenas dans la barre d’adresse.
  2. Cliquez sur la flèche dans le centre de contrôle :
    Mixed Content FF70 Fx63MixedContent
  3. Cliquez sur Désactiver la protection pour l’instant
    Disable Protection FF70 Fx63MixedContent-DisableProtection

Pour activer la protection, suivez les étapes précédentes et cliquez sur Activer la protection

Attention ! Débloquer le contenu mixte peut vous rendre vulnérable aux attaques.
Développeurs et développeuses : si votre site web provoque des erreurs de sécurité en raison de contenus non sûrs, consultez l’article de MDN web docs Régler le problème du contenu mixte dans un site web.

Cet article vous a-t-il été utile ?

Veuillez patienter…

Ces personnes ont aidé à écrire cet article :

Illustration of hands

Participer

Développez et partagez votre expertise avec les autres. Répondez aux questions et améliorez notre base de connaissances.

En savoir plus