Firefox 37 : Mozilla supprime en urgence une fonction de sécurité SSL

Une nouvelle fonction baptisée « Opportunistic Encryption » devait permettre de chiffrer les échanges même sur une connexion HTTP classique. Malheureusement, il y avait une faille critique dans le dispositif.

icones_02265.png

Opération rétropédalage. Après avoir diffusé la version 37 de Firefox le 31 mars dernier, la fondation Mozilla s’est vue contrainte de publier in extremis une version 37.0.1. Disponible depuis quelques jours, elle supprime la nouvelle fonctionnalité de « chiffrement opportuniste » (Opportunistic Encryption). Celle-ci permet de créer un canal de chiffrement HTTPS avec certains sites qui, pour des raisons diverses et variées, n’ont pas mis en place de service TLS/SSL.
Cela est possible techniquement grâce à HTTP/2, qui permet de définir des sources alternatives pour un service web. L’IETF appelle cela « HTTP Alternative Services » (HTTP AltSvc). Exemple : en voulant se connecter au site « http://www.example.com » sur le port 80, l’utilisateur disposant d’un navigateur supportant ce nouveau standard pourra être dévié vers un clone du même service web en version HTTP/2 sur le port 443, mais avec du chiffrement.
Le problème, c’est que l’implémentation de HTTP AltSvc dans Firefox présente une faille critique qui permet de contourner la vérification des certificats SSL, et ouvre donc la porte aux attaques de type « Man in the middle ». Mozilla a donc préféré enlever cette fonctionnalité. Elle reviendra peut-être plus tard.
Télécharger:
Télécharger Firefox 37 pour Windows.
Télécharger Firefox 37 pour OS X.
Télécharger Firefox 37 pour Linux.
Source 01net.com
Cet article, publié dans Uncategorized, est tagué . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s