Merci pour les précisions, donc ça va.
Non, ça veut juste dire qu'un observateur passif ne peut pas récupérer les identifiants.
En revanche, quelqu'un qui peut modifier les flux peut altérer la page http (via la réponse DNS, le contenu de la page, ...) pour soit y changer l'adresse de destination du formulaire, soit ajouter un script qui envoie les identifiants ailleurs.
C'est d'ailleurs pour ça que Firefox affiche un avertissement au niveau des champs de saisie dès que la page ou la destination du formulaire n'est pas en https.