Mozilla introduit le chiffrement opportuniste pour HTTP dans Firefox 37

Mozilla a publié Firefox 37. Outre l’ajout promis de la liste des certificats OneCRL révoqués, la société a introduit une fonction de chiffrement opportuniste lors de la connexion à des serveurs qui ne prennent pas en charge HTTPS.

Cette nouvelle fonction offre aux utilisateurs un nouvel outil de protection contre certaines formes de surveillance et ne requiert aucune configuration de la part de l’utilisateur. Si le serveur Internet est configuré correctement et renvoie un en-tête particulier dans les paquets de réponse, Firefox commence à envoyer des requêtes vers le port chiffré indiqué en lieu et place du port 80 utilisé pour les communications en clair. Le chiffrement opportuniste ne supplante pas SSL et ne prend pas en charge l’authentification. Il s’agit simplement d’une alternative pour les organisations qui ne peuvent pas réaliser la transition complète à HTTPS pour une raison ou une autre.

"Le chiffrement opportuniste offre un chiffrement sans authentification sur le protocole TLS pour les données qui seraient transférées en clair normalement. Cette solution offre une certaine confidentialité contre l’écoute passive et la protection globale des données contre le bruit aléatoire sur Internet est supérieure à celle du simple TCP. La configuration du serveur est très simple" a indiqué Patrick McManus de chez Mozilla alors qu’il présentait la nouvelle fonction. Une fois que le navigateur reçoit cette requête, il commence à vérifier si le service HTTP/2 est présent sur le service 443. Dès que la session avec ce service a été ouverte, il commence à envoyer les requêtes chiffrées vers le port 443. Il s’agit des requêtes qui seraient envoyées normalement en clair au port 80. Tout cela se déroule sans impact négatif sur la réactivité car la nouvelle connexion est établie en arrière plan avant d’être utilisée. Si le service alternatif (port 443) devient inaccessible ou s’il ne peut être vérifié, Firefox revient automatiquement à l’échange de données en clair via le port 80".

Le mois dernier, Mozilla avait annoncé que Firefox 37 contiendrait la fonction OneCRL, une liste globale de certificats bloqués dévelopée dans le but de simplifier la révocation des mauvais certificats ou des certificats problématiques. Les certificats octroyés par erreur, expirés ou malveillants étaient devenus un sérieux problème pour les utilisateurs et pour les développeurs de navigateur, surtout au cours de ces dernières années car les individus malintentionnés avaient commencé à attaquer des autorités de certification et à voler des certificats légitimes chez celles-ci. Pouvoir révoquer rapidement de mauvais certificats est un élément indispensable à la protection des utilisateurs et comme l’ont déclaré les représentants de Mozilla, la fonction OneCRL va améliorer ce processus pour les utilisateurs de Firefox.

"Firefox possède déjà un mécanisme qui permet de vérifier régulièrement les éléments qui pourraient nuire aux utilisateurs et qui figurent dans des listes noires. OneCRL inclut désormais dans les listes noires les certificats qui doivent être révoqués en plus des modules externes et des plug-ins errants et des pilotes graphiques défaillants. Les utilisateurs bénéficient ainsi des informations les plus récentes sur les révocations sans devoir mettre à jour ou réinstaller le navigateur" a déclaré Mark Goodwin de chez Mozilla.

Outre OneCRL et le chiffrement opportuniste, Firefox 37 contient également des correctifs pour une série de vulnérabilités de la sécurité, dont quatre critiques. Deux de ces vulnérabilité critiques sont des bogues d’utilisation après libération, une troisième est le résultat de la mémoire endommagée et la dernière est un paquet de problèmes de sécurité de la mémoire. Il y a également un correctif qui élimine la possibilité de contourner la règle de la même origine dans Firefox et qui est liée à un bogue similaire mais bien plus ancien.

Olli Pettay, un des développeurs de Mozilla, a déclaré que lors de l’analyse de Mozilla Foundation Security Advisory 2015-28, il avait trouvé, avec Boris Zbarsky, un autre développeur de Mozilla, une nouvelle manière d’exploiter cette vulnérabilité similaire. Le défaut antérieur était lié à un problème de navigation dans le contenu SVG qui permettait de déjouer la protection de la politique de la même origine pour l’exécution de scripts dans un environnement privilégié. La version plus récente de ce même bogue peut être utilisée dans le cadre de la navigation entre les ancres d’une page et permet de déjouer la protection de la stratégie de la même origine" peut-on lire dans un communiqué de Mozilla.

Source :       https://threatpost.com/mozilla-adds-opportunistic-encryption-for-http-in-firefox-37/111935

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *