Tor Browser 6.0 passe sur Firefox 45 ESR et abandonne SHA1

Bonus : le portier d'OS X le laissera passer 6
En bref
image dediée
Navigateurs
Vincent Hermann

Tor Browser 6.0 est désormais disponible au téléchargement, accompagné d’évolutions importantes. Parmi les plus significatives, le passage à Firefox 45 ESR et l’arrêt du support des certificats SHA1. La nouvelle version devrait particulièrement aider ceux qui avaient des soucis avec les vidéos.

Tor Browser est un navigateur conçu, comme son nom l’indique, pour surfer via le réseau Tor. Il est entièrement bâti sur les versions ESR de Firefox, celles bénéficiant d’un support étendu. Pour l’équipe de développement, cela signifie des failles corrigées pendant de nombreux mois, sans devoir changer la base toutes les six semaines (rythme moyen de Firefox). Pour les utilisateurs cependant, cela peut signifier des fonctionnalités qui arrivent au ralenti.

Firefox 45 ESR prend le relai, SHA1 s'en va

C’était le cas dans la branche 5.X de Tor Browser, la précédente ESR de Firefox étant la version 38. Or, en sept moutures, le navigateur de Mozilla s’est évidemment enrichi, particulièrement sur le support des nouvelles technologies. L’équipe de Tor Browser indique notamment que leur version 6.0 sera beaucoup plus à même de se débarrasser de Flash pour la lecture des vidéos, permettant de se débarrasser d’un plugin qui, quoi qu’il en soit, représente un déficit de sécurité. Firefox 45 ESR apporte également le support des notifications dynamiques et une meilleure prise en charge d’ES6.

Tor Browser 6.0 dispose également de plusieurs changements dans ses fondamentaux. Le support des certificats SHA1 est ainsi abandonné, un mouvement assez général dans les navigateurs, mais qui aura surtout lieu durant le second semestre pour Chrome, Firefox ou encore Edge. L’année 2017 marquera globalement la fin pour SHA1 avec le retrait complet du code associé.

Signature de code et blindage des mises à jour

Autre changement important, cette fois pour OS X : la signature du code. Jusqu’à présent, la protection Gatekeeper bloquait Tor Browser quand il était configuré par défaut, c’est-à-dire en ne laissant passer que les applications du Store et celles dument signées. Il était bien sûr possible de changer le paramètre de Gatekeeper, mais les utilisateurs ne connaissant pas la manipulation pouvaient penser que Tor Browser ne fonctionnait pas.

Tor Browser 6.0 s’occupe également de plusieurs problèmes qui pouvaient permettre son piratage. Par exemple dans son mécanisme interne de mise à jour, qui pouvait être détourné en théorie. Désormais, toute récupération du nouveau fichier ne pourra se faire qu’après vérification à la fois de la signature du paquet et de son hash. L’équipe a également corrigé un problème qui pouvait permettre sous Windows des modifications non autorisées de DLL.

Comme toute nouvelle version de Tor Browser, celle-ci permet également de récupérer toutes les dernières versions des différents composants et extensions intégrés par défaut. On retrouve donc OpenSSL 1.0.1t, Torbutton 1.9.5.4, HTTPS-Everywhere 5.1.9, Tor Launcher 0.2.9.3 et meek 0.22. Outre ces évolutions, de très nombreux bugs ont été corrigés, mais l’équipe précise que certains correctifs n’ont pas eu le temps d’être préparés et que des fonctionnalités ont été désactivées en attendant.

DuckDuckGo perdurera encore un certain temps

Les développeurs précisent par ailleurs la situation autour des moteurs de recherche. Ils indiquent avoir été contactés au sujet de DuckDuckGo, utilisé par défaut dans Tor Browser. Certains se demandent la raison qui a poussé l’équipe à se débarrasser de Disconnect. En fait, ce dernier est toujours bien utilisé, mais en tant que « méta-moteur » il ne permettait plus de chercher sur Google. Le temps que la situation revienne à la normale, Disconnect renvoyait vers Bing par défaut, ce que l’équipe de Tor n’a pas apprécié, jugeant la qualité trop moyenne. Ils ont donc demandé à Disconnect de faire une bascule sur DuckDuckGo tant que Google n’est pas reconnecté.

Tor Browser 6.0 est toujours compatible avec Linux, OS X et Windows. Point intéressant pour ce dernier, la version XP est toujours supportée. Étant donné la complexité grandissante pour trouver un navigateur qui y soit encore supporté, cette nouvelle mouture peut être une solution viable, la base ESR lui assurant encore environ un an de bons et loyaux services.

Proposition 224 : la nouvelle génération de services avance bien

La semaine dernière, les développeurs de Tor ont également fait le point sur les travaux sur le projet Next Generation Onion Services (NGOS), également appelé en interne « proposition 224 ». Durant une hackfest à Montréal, le travail a ainsi bien progressé, en plus des derniers mois très actifs. Les participants de l’évènement ont ainsi planché sur un générateur distribué de nombres aléatoires, la clarté et la cohérence des spécifications du projet, ou encore sur différents problèmes d’implémentation.

La proposition 224 est cependant un travail de longue haleine. Non seulement il n’est pas terminé, mais son déploiement ne remplacera pas l’ancien système de services, du moins dans un premier temps. L’équipe cherche ainsi à rassurer en indiquant qu’il y aura dans tous les cas une période de cohabitation. Ceux qui souhaitent en savoir davantage pourront lire le résumé des avancées faites à Montréal.


chargement
Chargement des commentaires...