Infos

Mozilla introduit le chiffrement opportuniste pour HTTP dans Firefox 37

Mozilla a publié Firefox 37. Outre l’ajout promis de la liste des certificats OneCRL révoqués, la société a introduit une fonction de chiffrement opportuniste lors de la connexion à des serveurs qui ne prennent pas en charge HTTPS.

Cette nouvelle fonction offre aux utilisateurs un nouvel outil de protection contre certaines formes de surveillance et ne requiert aucune configuration de la part de l’utilisateur. Si le serveur Internet est configuré correctement et renvoie un en-tête particulier dans les paquets de réponse, Firefox commence à envoyer des requêtes vers le port chiffré indiqué en lieu et place du port 80 utilisé pour les communications en clair. Le chiffrement opportuniste ne supplante pas SSL et ne prend pas en charge l’authentification. Il s’agit simplement d’une alternative pour les organisations qui ne peuvent pas réaliser la transition complète à HTTPS pour une raison ou une autre.

"Le chiffrement opportuniste offre un chiffrement sans authentification sur le protocole TLS pour les données qui seraient transférées en clair normalement. Cette solution offre une certaine confidentialité contre l’écoute passive et la protection globale des données contre le bruit aléatoire sur Internet est supérieure à celle du simple TCP. La configuration du serveur est très simple" a indiqué Patrick McManus de chez Mozilla alors qu’il présentait la nouvelle fonction. Une fois que le navigateur reçoit cette requête, il commence à vérifier si le service HTTP/2 est présent sur le service 443. Dès que la session avec ce service a été ouverte, il commence à envoyer les requêtes chiffrées vers le port 443. Il s’agit des requêtes qui seraient envoyées normalement en clair au port 80. Tout cela se déroule sans impact négatif sur la réactivité car la nouvelle connexion est établie en arrière plan avant d’être utilisée. Si le service alternatif (port 443) devient inaccessible ou s’il ne peut être vérifié, Firefox revient automatiquement à l’échange de données en clair via le port 80".

Le mois dernier, Mozilla avait annoncé que Firefox 37 contiendrait la fonction OneCRL, une liste globale de certificats bloqués dévelopée dans le but de simplifier la révocation des mauvais certificats ou des certificats problématiques. Les certificats octroyés par erreur, expirés ou malveillants étaient devenus un sérieux problème pour les utilisateurs et pour les développeurs de navigateur, surtout au cours de ces dernières années car les individus malintentionnés avaient commencé à attaquer des autorités de certification et à voler des certificats légitimes chez celles-ci. Pouvoir révoquer rapidement de mauvais certificats est un élément indispensable à la protection des utilisateurs et comme l’ont déclaré les représentants de Mozilla, la fonction OneCRL va améliorer ce processus pour les utilisateurs de Firefox.

"Firefox possède déjà un mécanisme qui permet de vérifier régulièrement les éléments qui pourraient nuire aux utilisateurs et qui figurent dans des listes noires. OneCRL inclut désormais dans les listes noires les certificats qui doivent être révoqués en plus des modules externes et des plug-ins errants et des pilotes graphiques défaillants. Les utilisateurs bénéficient ainsi des informations les plus récentes sur les révocations sans devoir mettre à jour ou réinstaller le navigateur" a déclaré Mark Goodwin de chez Mozilla.

Outre OneCRL et le chiffrement opportuniste, Firefox 37 contient également des correctifs pour une série de vulnérabilités de la sécurité, dont quatre critiques. Deux de ces vulnérabilité critiques sont des bogues d’utilisation après libération, une troisième est le résultat de la mémoire endommagée et la dernière est un paquet de problèmes de sécurité de la mémoire. Il y a également un correctif qui élimine la possibilité de contourner la règle de la même origine dans Firefox et qui est liée à un bogue similaire mais bien plus ancien.

Olli Pettay, un des développeurs de Mozilla, a déclaré que lors de l’analyse de Mozilla Foundation Security Advisory 2015-28, il avait trouvé, avec Boris Zbarsky, un autre développeur de Mozilla, une nouvelle manière d’exploiter cette vulnérabilité similaire. Le défaut antérieur était lié à un problème de navigation dans le contenu SVG qui permettait de déjouer la protection de la politique de la même origine pour l’exécution de scripts dans un environnement privilégié. La version plus récente de ce même bogue peut être utilisée dans le cadre de la navigation entre les ancres d’une page et permet de déjouer la protection de la stratégie de la même origine" peut-on lire dans un communiqué de Mozilla.

Source :       https://threatpost.com/mozilla-adds-opportunistic-encryption-for-http-in-firefox-37/111935

Mozilla introduit le chiffrement opportuniste pour HTTP dans Firefox 37

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception