Afin d'aider les webmasters à mieux protéger leurs sites web et leurs utilisateurs, Mozilla a développé un scanner en ligne qui permet de vérifier que les paramètres de sécurité de leurs serveurs web sont optimums. L’outil Dubbed Observatory, développé par Avril King, ingénieur en sécurité de Mozilla, était initialement destiné à un usage interne. Mais, celle-ci a encouragé l’éditeur à le rendre disponible partout dans le monde. L’idée de proposer un système d’analyse global lui a été inspirée par le SSL Server Test de Qualys SSL Labs, un scanner très apprécié qui évalue la configuration SSL/TLS d'un site web et met en évidence ses faiblesses potentielles. Comme le scanner de Qualys, Dubbed Observatory a adopté un système de notation de 0 à 100, doublé d’un classement de F à A+ pour affiner la qualité.
Contrairement au SSL Server Test, qui vérifie uniquement l’usage du TLS, Dubbed Observatory de Mozilla vérifie plusieurs mécanismes de sécurité en vigueur sur le web. Par exemple, l’outil recherche la présence de flags de sécurité lors de l’envoi d’un cookie, du Cross-Origin Resource Sharing (CORS) qui permet à tout navigateur compatible d’effectuer des requêtes HTTP cross-domain, du Content Security Policy (CSP), un mécanisme de sécurité qui permet de restreindre l'origine du contenu dans une page web à certains sites autorisés, de HTTP Public Key Pinning, une fonctionnalité de sécurité qui dit au client web d'associer une clé publique cryptographique avec un certain serveur web pour éviter les attaques Man In The Middle avec des certificats contrefaits, de HTTP Strict Transport Security (HSTS), un dispositif de sécurité par lequel un site web peut déclarer aux navigateurs qu'ils doivent communiquer avec lui en utilisant exclusivement le protocole HTTPS, au lieu du HTTP. Dubbed Observatory vérifie également les redirections, l’intégrité des sous-ressources, la présence de l’en-tête X-Frame-Options qui indique si une ressource est autorisée à être chargée dans un cadre ou un iframe, celle de l’en-tête de réponse X-Content-Type-Options, une autre fonction de sécurité qui facilite la prévention des attaques basées sur la confusion du type MIME, de l’en-tête X-XSS-Protection qui permet de protéger les utilisateurs contre les attaques XSS, et plus encore. L'outil ne vérifie pas seulement si ces technologies sont utilisées par le site, mais il s’assure également que leur implémentation est correcte. Par contre, Dubbed Observatory ne recherche pas les failles dans le code du site, une fonction déjà réalisée par un grand nombre d'outils gratuits et commerciaux.
Une plate-forme de tests centralisée
À certains égards, vérifier que la configuration d’un site web est sécurisée - en utilisant toutes les technologies disponibles développées ces dernières années par les éditeurs de navigateurs - est plus difficile que de trouver et de corriger des vulnérabilités de code. « Les caractéristiques de ces technologies sont éparpillées dans des dizaines de documents, et même si l’on trouve des articles sur le sujet, il n’existe pas de référentiel regroupant tous ces documents à l’usage des opérateurs de site qui leur permettrait de connaître l’utilité de chaque technologie, comment les mettre en œuvre, ainsi que leur importance respective », a déclaré April King dans un blog. Cette difficulté à trouver des ressources facilement exploitables sur ces fonctions de sécurisation de sites web n’a pas favorisé leur adoption, comme l’a montré le scan réalisé avec l’outil Dubbed Observatory. Ainsi, sur 1,3 million de sites web analysés, seuls 121 984 ont passé le test avec succès. Même certains sites web de Mozilla ont échoué. Par exemple, le site addons.mozilla.org, qui est pourtant l’un des plus importants de l’éditeur, s’en sort avec un F médiocre. Depuis le scan, les faiblesses ont été corrigées et le site est maintenant classé A+.
La présentation des résultats des tests par Dubbed Observatory est très conviviale. Ils sont assortis de liens vers les documents contenant les directives de sécurité de Mozilla, avec les descriptions et des exemples de mise en œuvre, ce qui permet aux administrateurs de sites Web de comprendre plus facilement les problèmes détectés lors de l'analyse et de savoir lesquels ils doivent résoudre en priorité. « Évidemment, les résultats de Dubbed Observatory ne sont peut-être pas totalement adaptés à votre site - les besoins de sécurité d'un site comme GitHub sont beaucoup plus complexes que ceux d'un blog personnel », a déclaré Avril King. « Mais, en encourageant l'adoption de ces normes, y compris pour les sites peu exposés, nous espérons familiariser les développeurs, les administrateurs système et les professionnels de la sécurité à travers le monde avec ces fonctions ». Le code qui sert de base à Dubbed Observatory est open source. Une API et des outils de ligne de commande sont disponibles pour les administrateurs qui ont besoin d’effectuer régulièrement le scan d’un grand nombre de sites web ou qui veulent effectuer leurs analyses en interne.