Tor Browser 4.0 : mise à jour automatique, Firefox 31 et désactivation de SSLv3

Tor vient d'annoncer la mise en ligne de la version 4.0 de son bundle Tor Browser. Cette mouture est basée sur Firefox 31.2.0 en version ESR (Extended Support Release) et SSLv3 a été désactivé afin d'éviter que la faille POODLE puisse être exploitée. Mais plusieurs autres nouveautés sont de la partie.

Tor Browser 4.0 : Firefox 31 ESR et SSLv3 désactivé par défaut

Comme nous l'indiquions hier, une importante faille a été identifiée dans SSLv3. Ses conséquences peuvent être fâcheuses puisque toutes les données qui circulent de manière chiffrée peuvent potentiellement être interceptées. Une solution est de désactiver le support de SSLv3, ce qui n'est généralement pas le cas par défaut sur les navigateurs. Des mises à jour devraient donc rapidement arriver.

Hasard ou pas du calendrier, Tor Browser vient de passer en version 4.0 et apporte son lot de nouveautés. Pour rappel, ce bundle intègre Firefox avec de nombreuses extensions et exploite le réseau Tor afin d'offrir un certain niveau de confidentialité et d'anonymat. Firefox passe ainsi de la version 24 ESR (Extended Support Release) à la 31, toujours avec support étendu, et qui propose de nombreux correctifs de sécurité, dont sept jugés comme critiques. Afin d'éviter la faille POODLE, SSLv3 a été désactivé par défaut. 

Contournement de la censure et mise à jour automatique 

Cette nouvelle version propose également un système de contournement de la censure, pour la Chine par exemple : meek. Il s'agit en fait d'utiliser le protocole HTTP afin de faire circuler des données chiffrées via TLS (Transport Layer Security). Ce trafic est ensuite relayé par un serveur tiers, comme un CDN, qui est rarement bloqué. L'équipe indique ainsi que meek-amazon et meek-azure, qui passent par les services d'Amazon et Microsoft, devraient fonctionner sans problème en Chine, sans avoir besoin d'obtenir l'adresse d'un bridge. Rien n'est précisé pour meek-google, qui devrait donc ne pas être opérationnel dans ce cas.

Mais ce n'est pas le seul changement et d'autres modifications plus profondes ont été effectuées afin d'ajouter une fonctionnalité intéressante : des mises à jour automatiques. Pour cela l'arborescence des fichiers a été entièrement revue et corrigée. Néanmoins, cela signifie qu'il sera impossible de copier les fichiers de Tor Browser 4.0 sur une installation 3.6.6.

Du côté de NoScript (qui passe en version 2.6.9.1), il est désormais possible d'autoriser ou de refuser l'exécution de tous les sous-éléments d'une page en une seule fois au lieu de les faire un par un. Notez enfin que, comme Google avec Chrome, Tor laissera bientôt tomber OS X en version 32 bits pour se concentrer sur la version 64 bits.

Tous les détails des notes de versions se trouvent par ici, tandis que pour télécharger Tor Browser, c'est par là que ça passe.