Sécurité

Mozilla désactive les nouvelles fonctionnalités de Firefox pour résoudre une faille de sécurité critique – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Le 31 mars, Mozilla a publié la dernière version de Firefox, 37.0 – mais la fondation a déjà publié un correctif important pour cette mise à jour, après avoir découvert un bogue de sécurité critique qui a brisé le cryptage HTTPS d’une manière invisible pour l’utilisateur final. Ironiquement, l’un des points d’origine de la mise à jour de Firefox 37 était d’ajouter de la sécurité grâce à l’utilisation d’une fonctionnalité connue sous le nom de cryptage opportuniste.

L’un des défis de la sécurité Internet est que les connexions HTTPS cryptées ne sont pas le type de connexion par défaut pour la majorité des sites Web ou des entreprises. Dans la plupart des cas, seuls les sites Web qui ont une raison d’utiliser HTTPS, comme votre banque, l’utilisent par défaut. Le chiffrement opportuniste n’offre pas autant de sécurité que le HTTPS complet, mais il protège contre les écoutes passives et à un coût d’installation insignifiant.

Une autre fonctionnalité de Firefox 37 est la prise en charge de HTTP/2, le nouveau Mise à jour de la norme HTTP. La faille, dans ce cas, est déclenchée par un exploit dans l’implémentation par Mozilla de la capacité « Alt-Svc » de HTTP/2. Alt-Svc (Alternative Service) permet au serveur Web d’indiquer à votre PC qu’il doit effectuer une redirection ou offrir une méthode d’accès alternative pour un site Web particulier. Alt-Svc pourrait être utilisé pour rediriger les utilisateurs vers un emplacement de serveur temporaire pendant que les serveurs principaux étaient en panne, ou pour émettre des instructions de cryptage opportuniste, comme Firefox avait l’intention de le faire. Le système OE de Mozilla ne fonctionnait que sur les sites Web compatibles HTTP/2 – la fonctionnalité n’était pas disponible sur les sites qui ne prenaient en charge que HTTP 1.1.

Psssssst :  Armes de la troisième guerre mondiale : comment les nouvelles technologies affecteront le prochain grand conflit - High-teK.ca

Chercheur en sécurité Muneaki Nishimura a découvert la faille dans FF 37.0, comme détaillé dans le propre résumé des menaces de Mozilla : « Si un en-tête Alt-Svc est spécifié dans la réponse HTTP/2, la vérification du certificat SSL peut être contournée pour le serveur alternatif spécifié. En conséquence, les avertissements de certificats SSL invalides ne seront pas affichés et un attaquant pourrait potentiellement usurper l’identité d’un autre site via un homme du milieu (MTIM), remplaçant le certificat d’origine par le sien.

FF-3701

Firefox 37.0.1 est la version la plus récente

En d’autres termes : les pirates pouvaient faire croire à quelqu’un qu’il accédait à un site Web sécurisé, alors qu’en réalité, il avait été basculé sur une version non sécurisée et piratée. Ce type de problème peut exploser si une entreprise ne fait pas attention — Lenovo Débâcle de Superfish en est la preuve – la réponse rapide de Mozilla au problème est donc la bienvenue. La version 37.0.1 de Firefox a désactivé le système de cryptage opportuniste ; Mozilla dit qu’il réactivera la fonctionnalité à une date future non divulguée.

Le degré exact de protection qu’offre réellement OE est sujet à débat. Les nouveaux systèmes n’empêcheraient pas les hackers dédiés, et encore moins la NSA, d’espionner des individus. Cependant, cela pourrait forcer les auteurs de logiciels malveillants et les dispositifs de collecte de données plus passifs à dépenser plus d’énergie pour voir les mêmes informations. Ce n’est peut-être pas aussi sexy qu’une solution complète à guichet unique. Mais tout ce qui rend le processus d’espionnage plus difficile augmente également le risque que des opérations comme la NSA aient besoin de cibler des individus, au lieu de s’engager dans une surveillance de masse et sans discrimination.

Psssssst :  Le déverrouillage du visage Pixel 4 de Google fonctionne si vous avez les yeux fermés, et c'est mauvais

Bouton retour en haut de la page