Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Firefox 37 désactive son chiffrement opportuniste à cause d'une faille

L'enfer est pavé de bonnes intentions
Internet 2 min
Firefox 37 désactive son chiffrement opportuniste à cause d'une faille

Lors de l’arrivée de Firefox 37, Mozilla mettait en avant une nouvelle fonctionnalité, baptisée « chiffrement opportuniste ». L’éditeur a dû cependant la désactiver, car son implémentation contient une sérieuse faille de sécurité qui peut permettre un contournement complet des protections HTTPS.

Chiffrer les connexions, même sans HTTPS

Firefox 37 portait avec lui une promesse de sécurité accrue par l’entremise du chiffrement opportuniste. Cette méthode particulière permet au navigateur d’établir une connexion chiffrée avec un serveur, même si aucune sécurisation du flux n’a été prévue. Bien entendu, pas question d’obtenir une aussi grande efficacité qu’avec une vraie connexion HTTPS, mais la technique permet de protéger au moins un minimum le flux en essayant de le chiffrer.

La technique n’est pas nouvelle, et Mozilla a visiblement fait une erreur dans son implémentation. Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste. L’erreur entraîne en effet une faille de sécurité qui pourrait être exploitée par des pirates, en présentant de faux certificats TLS, le navigateur ne remarquant alors pas la supercherie. L’exploitation est d’ailleurs simple à mettre en place puisque le site malveillant n’a qu’à placer un en-tête « HTTP/2 Alt-Svc » dans sa réponse au navigateur, court-circuitant la vérification des certificats.

Une faille simple à exploiter, mais limitée aux serveurs HTTP/2

La faille est considérée comme critique, puisque facilement exploitable depuis un serveur spécialement conçu pour en tirer partie, ce qui explique d’ailleurs la réponse rapide de Mozilla. Car contourner les certificats permet à un pirate de réorienter un utilisateur vers un flux « sécurisé » utilisant justement un faux certificat, autorisant finalement un faux site à se faire passer pour ce qu’il n’est pas.

Le seul facteur limitant l’exploitation de la faille est qu’il s’agit d’un problème spécifique à HTTP/2, qui est encore très peu utilisé côté serveurs. Cependant, comme le précise Sophos dans un billet publié hier, le nouveau protocole (qui n’est pas encore finalisé) est déjà géré par Apache et Nginx, ainsi que par la version d’IIS incluse dans Windows 10. L’éditeur ajoute que sans correction du bug, des pirates auraient pu être tentés justement par la création de serveurs utilisant HTTP/2.

Les utilisateurs de Firefox doivent donc vérifier qu’ils utilisent bien la mouture 37.0.1 pour ne pas être vulnérables. Notez que même si Mozilla explique dans son bulletin de sécurité que le bug a été « corrigé » dans cette version, ce n’est en fait pas le cas, puisque la fonctionnalité a simplement été désactivée. L’un des responsables de l’éditeur, Chad Weiner, a d’ailleurs précisé à Ars Technica qu’elle sera réactivée plus tard, quand les ingénieurs auront fait le tour du problème.

52 commentaires
Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash
= pages web difficiles à s'afficher + extinction inopinée et prématurée du navigateur

Édité par joma74fr le 08/04/2015 à 13:09
Avatar de moi1392 INpactien
Avatar de moi1392moi1392- 08/04/15 à 13:11:08

Ça aurait pu être une excellente idée pour accélérer l'adoption de http/2 coté serveur :D

Édité par moi1392 le 08/04/2015 à 13:11
Avatar de francois-battail INpactien
Avatar de francois-battailfrancois-battail- 08/04/15 à 13:13:20

Une précision : nginx / nginx plus ne gère pas encore officiellement HTTP 2 (mais c'est en cours d'implémentation : cf. mailing list).

Avatar de anonyme_e186b7865d4971c1a4c38b90521f44b5 INpactien

C'est ca que j'aime chez mozilla. On corrige les problèmes en contournant les problèmes.

Avatar de jeje07 INpactien
Avatar de jeje07jeje07- 08/04/15 à 13:17:02

joma74fr a écrit :

firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash
= pages web difficiles à s'afficher + extinction inopinée et prématurée du navigateur

firefox 37 + 53 extensions + 5 plugins dont flash player = aucun problème, ca tourne comme une horloge  :D

Avatar de anonyme_0338cda8a38b933adb088f0814824e10 INpactien

Sauf qu'ils ne corrigent rien et ne contournent rien.

Merci, salut.

Avatar de maestro321 INpactien
Avatar de maestro321maestro321- 08/04/15 à 13:19:56

Attention à firebug, j'ai eu de très gros ralentissement/freeze lorsque l'onglet "script" est activé sur certain sites.
Une fois l'onglet "script" désactivé, la fluidité reviens.

A part avec firebug et flash player, je n'ai jamais eu de soucis de ralentissement..

Édité par maestro321 le 08/04/2015 à 13:20
Avatar de zefling Abonné
Avatar de zeflingzefling- 08/04/15 à 13:20:37

Je crois que t'as rien compris. Entre ne pas avoir un truc et avoir un truc qui fout la merde, est-t-il pas préférable de ne pas l'avoir tant que ce n'est pas stable ?

Avatar de zefling Abonné
Avatar de zeflingzefling- 08/04/15 à 13:21:20

Perso, sous Linux, j'ai beaucoup de crashes depuis 2 semaines... Ça devient un peu lourd. Aucun problème sous Windows au boulot.

Avatar de jeje07 INpactien
Avatar de jeje07jeje07- 08/04/15 à 13:22:13

zefling a écrit :

Perso, sous Linux, j'ai beaucoup de crashes depuis 2 semaines... Ça devient un peu lourd. Aucun problème sous Windows au boulot.

sous linux firefox n'a pas très bonne réputation il me semble.

 

Il n'est plus possible de commenter cette actualité.
Page 1 / 6