Lors de l’arrivée de Firefox 37, Mozilla mettait en avant une nouvelle fonctionnalité, baptisée « chiffrement opportuniste ». L’éditeur a dû cependant la désactiver, car son implémentation contient une sérieuse faille de sécurité qui peut permettre un contournement complet des protections HTTPS.
Chiffrer les connexions, même sans HTTPS
Firefox 37 portait avec lui une promesse de sécurité accrue par l’entremise du chiffrement opportuniste. Cette méthode particulière permet au navigateur d’établir une connexion chiffrée avec un serveur, même si aucune sécurisation du flux n’a été prévue. Bien entendu, pas question d’obtenir une aussi grande efficacité qu’avec une vraie connexion HTTPS, mais la technique permet de protéger au moins un minimum le flux en essayant de le chiffrer.
La technique n’est pas nouvelle, et Mozilla a visiblement fait une erreur dans son implémentation. Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste. L’erreur entraîne en effet une faille de sécurité qui pourrait être exploitée par des pirates, en présentant de faux certificats TLS, le navigateur ne remarquant alors pas la supercherie. L’exploitation est d’ailleurs simple à mettre en place puisque le site malveillant n’a qu’à placer un en-tête « HTTP/2 Alt-Svc » dans sa réponse au navigateur, court-circuitant la vérification des certificats.
Une faille simple à exploiter, mais limitée aux serveurs HTTP/2
La faille est considérée comme critique, puisque facilement exploitable depuis un serveur spécialement conçu pour en tirer partie, ce qui explique d’ailleurs la réponse rapide de Mozilla. Car contourner les certificats permet à un pirate de réorienter un utilisateur vers un flux « sécurisé » utilisant justement un faux certificat, autorisant finalement un faux site à se faire passer pour ce qu’il n’est pas.
Le seul facteur limitant l’exploitation de la faille est qu’il s’agit d’un problème spécifique à HTTP/2, qui est encore très peu utilisé côté serveurs. Cependant, comme le précise Sophos dans un billet publié hier, le nouveau protocole (qui n’est pas encore finalisé) est déjà géré par Apache et Nginx, ainsi que par la version d’IIS incluse dans Windows 10. L’éditeur ajoute que sans correction du bug, des pirates auraient pu être tentés justement par la création de serveurs utilisant HTTP/2.
Les utilisateurs de Firefox doivent donc vérifier qu’ils utilisent bien la mouture 37.0.1 pour ne pas être vulnérables. Notez que même si Mozilla explique dans son bulletin de sécurité que le bug a été « corrigé » dans cette version, ce n’est en fait pas le cas, puisque la fonctionnalité a simplement été désactivée. L’un des responsables de l’éditeur, Chad Weiner, a d’ailleurs précisé à Ars Technica qu’elle sera réactivée plus tard, quand les ingénieurs auront fait le tour du problème.
Commentaires (52)
#1
firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash
= pages web difficiles à s’afficher + extinction inopinée et prématurée du navigateur
#2
Ça aurait pu être une excellente idée pour accélérer l’adoption de http/2 coté serveur
" />
#3
Une précision : nginx / nginx plus ne gère pas encore officiellement HTTP 2 (mais c’est en cours d’implémentation : cf. mailing list).
#4
C’est ca que j’aime chez mozilla. On corrige les problèmes en contournant les problèmes.
#5
#6
Sauf qu’ils ne corrigent rien et ne contournent rien.
Merci, salut.
#7
Attention à firebug, j’ai eu de très gros ralentissement/freeze lorsque l’onglet “script” est activé sur certain sites.
Une fois l’onglet “script” désactivé, la fluidité reviens.
A part avec firebug et flash player, je n’ai jamais eu de soucis de ralentissement..
#8
Je crois que t’as rien compris. Entre ne pas avoir un truc et avoir un truc qui fout la merde, est-t-il pas préférable de ne pas l’avoir tant que ce n’est pas stable ?
#9
Perso, sous Linux, j’ai beaucoup de crashes depuis 2 semaines… Ça devient un peu lourd. Aucun problème sous Windows au boulot.
#10
#11
#12
Bof, un troll aurait été d’expliquer que le seul navigateur qui vaille la peine sous Linux, c’est IE.
" />
#13
#14
#15
Pas testé la version bin, aucun pb sous gentoo. Ça vaudrait peut-être le coût de lire les messages d’erreur pour voir pourquoi il plante.
#16
Pffiou, rien que ça… Quand je vois la différence (visuelle !) entre un Opera (ou un Vivaldi), un FF avec une 10zaine d’extensions et un FF sans extensions (en safe mode par exemple), je me demande à qui revient la faute d’être plus lent que la moyenne: les extensions ? le moteur de rendu ? le navigateur ? l’OS ?
Sur mes sites auto-hébergés (Tiny Tiny RSS et Pydio), le rendu général est tellement meilleur que je préfère désormais passé par les navigateurs blinkés (en évitant Chrome, faut pas abuser).
#17
#18
C’est ce que j’aurai dit mais j’ai eu peur de passer pour ça: 
" /> ^^
#19
#20
#21
Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste.
Vu ouaip. DL 42Mo pour désactiver une fonctionnalité, chapeau. Je sais pas si ça vient de mozilla ou de canonical, mais question efficacité, on a vu mieux
#22
#23
Dans l’urgence et si la véritable correction est longue et fastidieuse à mettre en place et/ou à valider, la meilleur des choses à faire c’est de désactiver la fonctionnalité et c’est ce qu’ils ont fait !
#24
Il dit qu’il a plus de genoux.
#25
Quel paramètre du about:config ?
J’ai trouvé celui-là : network.http.atsvc.enabled
#26
Aucun souci sous Ubuntu non plus
#27
Pareil, depuis quelques mois c’est très compliqué sur ubuntu. Obligé de virer firebug. Mais je vais tenter de ré-activer avec l’onglet scripts de désactiver.
(Activer, désactiver, activer hein ?)
#28
#29
J’ai l’impression que c’est Flash qui fout la merde, ou l’accélération matériel… ou les deux ensembles.
#30
Pas de soucis sans Firebug de mon coté. (Hormis quelques crashs de temps en temps)
#31
#32
#33
C’est le cas chez Microsoft aussi, et ce n’est pas le seul.
Certaines mises à jour désactivent des fonctionnalités, parfois même par une simple clé de registre.
#34
Perso, depuis quelques temps, j’ai parfois les onglets qui freezent et/ou se mélangent. Je sais pas à quoi c’est dû mais c’est chiant.
#35
Ca vient de canonical.
Sous Windows, tu as juste un delta à télécharger.
#36
Franchement, si je pouvais m’en passer… je le ferais bien volontiers, surtout qu’on a vieille version 11 toute pourrie.
#37
#38
A ma connaissance, Apache (HTTPD) ne gère pas encore le HTTP/2 dans sa version finale, donc à mon avis ce n’est pas déployé pour le moment.
#39
Firebug, c’est pas fait pour naviguer, hein.
" />
" />
" />
On peut le désactiver site par site.
Pour avoir essayé avec Gmail, c’est une mauvaise idée de le laisser activé
#40
#41
#42
#43
#44
Il faut attendre la version 3… qui tarde. Il faut dire il est reparti de zéro en ce basant sur l’outil interne du navigateur. La version 2 de Firebug est juste une calamité… malheureusement pour moi elle a pleins de petits trucs que j’aime bien.
#45
#46
#47
#48
Bha, j’ai plus que Flash et juste parce que sur 2-3 sites j’en ai besoin. Vivement que Shumway le dégage.
#49
#50
C’était une blague :‘( Sous entendu que ce sont les gens qui veulent pouvoir se servir de la faille qui du coup auraient poussé les migrations !
J’avais bien compris le problème sinon.
#51
Étant sous Linux Mint 17.1, pas de problème avec Firefox 37 (même 37.0.1), je n’ai par contre pas le plugin Flash ni Java (je ne m’en sers pas). Par contre YouTube en HTML5, ça fait monter le CPU en charge de façon conséquente… de mémoire avec Flash c’était moindre.
Pour info j’ai 7 extensions et 2 plugins (dont OpenH264 de Cisco et Silverlight via pipelight, obligation pour avoir accès à une plate-forme web développer sans prendre en compte les gens comme moi sous Linux… un classique).
La MàJ faisait 30 Mo de mémoire de 37 -> 37.0.1, étonnant comme le disaient certains pour une simple désactivation d’option qu’il n’y ai pas de MàJ avec delta.
Et pour ceux qui disent que Firefox sous Linux ça n’a jamais été stable ou que ça crash sans cesse, c’est faux. Je l’utilise depuis plusieurs années sans souci. Je le laisse tourner toute la journée (donc 8-9h) avec une vingtaine d’onglets environ.
#52
Firefox ça commence vraiment à devenir n’importe quoi. Voilà maintenant que sur la version 38 le paramétrage des options en mode fenêtré a disparu au profit d’un immonde paramétrage de style page web.