Connexion
Abonnez-vous

Firefox 37 désactive son chiffrement opportuniste à cause d’une faille

L'enfer est pavé de bonnes intentions

Firefox 37 désactive son chiffrement opportuniste à cause d'une faille

Le 08 avril 2015 à 13h00

Lors de l’arrivée de Firefox 37, Mozilla mettait en avant une nouvelle fonctionnalité, baptisée « chiffrement opportuniste ». L’éditeur a dû cependant la désactiver, car son implémentation contient une sérieuse faille de sécurité qui peut permettre un contournement complet des protections HTTPS.

Chiffrer les connexions, même sans HTTPS

Firefox 37 portait avec lui une promesse de sécurité accrue par l’entremise du chiffrement opportuniste. Cette méthode particulière permet au navigateur d’établir une connexion chiffrée avec un serveur, même si aucune sécurisation du flux n’a été prévue. Bien entendu, pas question d’obtenir une aussi grande efficacité qu’avec une vraie connexion HTTPS, mais la technique permet de protéger au moins un minimum le flux en essayant de le chiffrer.

La technique n’est pas nouvelle, et Mozilla a visiblement fait une erreur dans son implémentation. Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste. L’erreur entraîne en effet une faille de sécurité qui pourrait être exploitée par des pirates, en présentant de faux certificats TLS, le navigateur ne remarquant alors pas la supercherie. L’exploitation est d’ailleurs simple à mettre en place puisque le site malveillant n’a qu’à placer un en-tête « HTTP/2 Alt-Svc » dans sa réponse au navigateur, court-circuitant la vérification des certificats.

Une faille simple à exploiter, mais limitée aux serveurs HTTP/2

La faille est considérée comme critique, puisque facilement exploitable depuis un serveur spécialement conçu pour en tirer partie, ce qui explique d’ailleurs la réponse rapide de Mozilla. Car contourner les certificats permet à un pirate de réorienter un utilisateur vers un flux « sécurisé » utilisant justement un faux certificat, autorisant finalement un faux site à se faire passer pour ce qu’il n’est pas.

Le seul facteur limitant l’exploitation de la faille est qu’il s’agit d’un problème spécifique à HTTP/2, qui est encore très peu utilisé côté serveurs. Cependant, comme le précise Sophos dans un billet publié hier, le nouveau protocole (qui n’est pas encore finalisé) est déjà géré par Apache et Nginx, ainsi que par la version d’IIS incluse dans Windows 10. L’éditeur ajoute que sans correction du bug, des pirates auraient pu être tentés justement par la création de serveurs utilisant HTTP/2.

Les utilisateurs de Firefox doivent donc vérifier qu’ils utilisent bien la mouture 37.0.1 pour ne pas être vulnérables. Notez que même si Mozilla explique dans son bulletin de sécurité que le bug a été « corrigé » dans cette version, ce n’est en fait pas le cas, puisque la fonctionnalité a simplement été désactivée. L’un des responsables de l’éditeur, Chad Weiner, a d’ailleurs précisé à Ars Technica qu’elle sera réactivée plus tard, quand les ingénieurs auront fait le tour du problème.

Commentaires (52)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







zefling a écrit :



Perso, sous Linux, j’ai beaucoup de crashes depuis 2 semaines… Ça devient un peu lourd. Aucun problème sous Windows au boulot.





Bizarre que tu aies des soucis, chez moi aucun souci avec Fedora .&nbsp; <img data-src=" />


votre avatar

Dans l’urgence et si la véritable correction est longue et fastidieuse à mettre en place et/ou à valider, la meilleur des choses à faire c’est de désactiver la fonctionnalité et c’est ce qu’ils ont fait !

votre avatar

Il dit qu’il a plus de genoux.

votre avatar

Quel paramètre du about:config ?



J’ai trouvé celui-là : network.http.atsvc.enabled

votre avatar

Aucun souci sous Ubuntu non plus

votre avatar

Pareil, depuis quelques mois c’est très compliqué sur ubuntu. Obligé de virer firebug. Mais je vais tenter de ré-activer avec l’onglet scripts de désactiver.



(Activer, désactiver, activer hein ?)

votre avatar







Spidard a écrit :



Vu ouaip. DL 42Mo pour désactiver une fonctionnalité, chapeau. Je sais pas si ça vient de mozilla ou de canonical, mais question efficacité, on a vu mieux <img data-src=" />





Et tu proposes quoi ?


votre avatar

J’ai l’impression que c’est Flash qui fout la merde, ou l’accélération matériel… ou les deux ensembles.

votre avatar

Pas de soucis sans Firebug de mon coté. (Hormis quelques crashs de temps en temps)

votre avatar







zefling a écrit :



J’ai l’impression que c’est Flash qui fout la merde, ou l’accélération matériel… ou les deux ensembles.







<img data-src=" /> <img data-src=" />


votre avatar







plop97 a écrit :



Et tu proposes quoi ?









&nbsp;Sous fedora, il y a les delta rpm&nbsp; pour les mise à jours. Je sais pas s’il y a un équivalant pour debian.



info sur les delta rpmhttp://fedoraproject.org/wiki/Features/Presto


votre avatar

C’est le cas chez Microsoft aussi, et ce n’est pas le seul.

Certaines mises à jour désactivent des fonctionnalités, parfois même par une simple clé de registre.

votre avatar

Perso, depuis quelques temps, j’ai parfois les onglets qui freezent et/ou se mélangent. Je sais pas à quoi c’est dû mais c’est chiant.

votre avatar

Ca vient de canonical.

Sous Windows, tu as juste un delta à télécharger.

votre avatar

Franchement, si je pouvais m’en passer… je le ferais bien volontiers, surtout qu’on a vieille version 11 toute pourrie.

votre avatar







Xarkam a écrit :



C’est ca que j’aime chez mozilla. On corrige les problèmes en contournant les problèmes.





Ben oui, ça serait tellement mieux de laisser la faille béante, ou d’attendre la prochaine release dans 6 semaines !



<img data-src=" />


votre avatar

Sauf qu’ils ne corrigent rien et ne contournent rien.



Merci, salut.

votre avatar

Attention à firebug, j’ai eu de très gros ralentissement/freeze lorsque l’onglet “script” est activé sur certain sites.

Une fois l’onglet “script” désactivé, la fluidité reviens.



A part avec firebug et flash player, je n’ai jamais eu de soucis de ralentissement..

votre avatar

Je crois que t’as rien compris. Entre ne pas avoir un truc et avoir un truc qui fout la merde, est-t-il pas préférable de ne pas l’avoir tant que ce n’est pas stable ?

votre avatar

Perso, sous Linux, j’ai beaucoup de crashes depuis 2 semaines… Ça devient un peu lourd. Aucun problème sous Windows au boulot.

votre avatar







zefling a écrit :



Perso, sous Linux, j’ai beaucoup de crashes depuis 2 semaines… Ça devient un peu lourd. Aucun problème sous Windows au boulot.





sous linux firefox n’a pas très bonne réputation il me semble.



&nbsp;


votre avatar







jeje07 a écrit :



sous linux firefox n’a pas très bonne réputation il me semble.



&nbsp;





Rooooh, un si gros troll alors qu’on est que mercredi !!! :)

&nbsp;


votre avatar

Bof, un troll aurait été d’expliquer que le seul navigateur qui vaille la peine sous Linux, c’est IE. <img data-src=" />

votre avatar







zefling a écrit :



Perso, sous Linux, j’ai beaucoup de crashes depuis 2 semaines… Ça devient un peu lourd. Aucun problème sous Windows au boulot.





Faut que je regarde ma version issue des dépôts Manjaro, mais aucun problème de mon côté pour le moment.


votre avatar







Inny a écrit :



Bof, un troll aurait été d’expliquer que le seul navigateur qui vaille la peine sous Linux, c’est IE. <img data-src=" />







pourquoi s’embêter de toutes façons linux ne vaut pas la peine tout court. <img data-src=" />


votre avatar

Pas testé la version bin, aucun pb sous gentoo. Ça vaudrait peut-être le coût de lire les messages d’erreur pour voir pourquoi il plante.

votre avatar

Pffiou, rien que ça… Quand je vois la différence (visuelle !) entre un Opera (ou un Vivaldi), un FF avec une 10zaine d’extensions et un FF sans extensions (en safe mode par exemple), je me demande à qui revient la faute d’être plus lent que la moyenne: les extensions ? le moteur de rendu ? le navigateur ? l’OS ?&nbsp;

Sur mes sites auto-hébergés (Tiny Tiny RSS et Pydio), le rendu général est tellement meilleur que je préfère désormais passé par les navigateurs blinkés (en évitant Chrome, faut pas abuser).

&nbsp;

votre avatar







GierrePattaz a écrit :



Sauf qu’ils ne corrigent rien et ne contournent rien.



Merci, salut.





Vas donc jeter un oeil sur les drivers dans le bugzilla. Surtout les Intel.



Tu verra si mozilla contourne pas.


votre avatar

C’est ce que j’aurai dit mais j’ai eu peur de passer pour ça:&nbsp;<img data-src=" />&nbsp;^^

votre avatar







zefling a écrit :



Je crois que t’as rien compris. Entre ne pas avoir un truc et avoir un truc qui fout la merde, est-t-il pas préférable de ne pas l’avoir tant que ce n’est pas stable ?





C’est désactivé. On coup de about:config et tu réactive c’est tout.



On a aucune roadmap sur la réactivation du truc, donc pour ma part, tu recompile en virant le code tu change pas un bool en false.


votre avatar







redscape a écrit :



C’est ce que j’aurai dit mais j’ai eu peur de passer pour ça:&nbsp;<img data-src=" />&nbsp;^^





+1



En tout cas, c’est bien chiant. Ce sont les seul à avoir des merdes avec les drivers.


votre avatar



Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste.

Vu ouaip. DL 42Mo pour désactiver une fonctionnalité, chapeau. Je sais pas si ça vient de mozilla ou de canonical, mais question efficacité, on a vu mieux <img data-src=" />

votre avatar

firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash

= pages web difficiles à s’afficher + extinction inopinée et prématurée du navigateur

votre avatar

Ça aurait pu être une excellente idée pour accélérer l’adoption de http/2 coté serveur <img data-src=" />

votre avatar

Une précision : nginx / nginx plus ne gère pas encore officiellement HTTP 2 (mais c’est en cours d’implémentation : cf. mailing list).

votre avatar

C’est ca que j’aime chez mozilla. On corrige les problèmes en contournant les problèmes.

votre avatar







joma74fr a écrit :



firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash

= pages web difficiles à s’afficher + extinction inopinée et prématurée du navigateur





firefox 37 + 53 extensions + 5 plugins dont flash player = aucun problème, ca tourne comme une horloge&nbsp; <img data-src=" />


votre avatar

A ma connaissance, Apache (HTTPD) ne gère pas encore le HTTP/2 dans sa version finale, donc à mon avis ce n’est pas déployé pour le moment.

votre avatar

Firebug, c’est pas fait pour naviguer, hein.

On peut le désactiver site par site.



Pour avoir essayé avec Gmail, c’est une mauvaise idée de le laisser activé <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







plop97 a écrit :



Et tu proposes quoi ?





Ben vu que je bosse avec SVN/Git tous les jour, comme proposé par d’autres un delta c’est bien.





psn00ps a écrit :



Ca vient de canonical.

Sous Windows, tu as juste un delta à télécharger.



<img data-src=" />

Vu. Passé de la 36.0.4 à la 37.0.1 sur W7, 16Mo tout de même, mais bon, ya changement de version majeur au passage.


votre avatar







maestro321 a écrit :



Attention à firebug, j’ai eu de très gros ralentissement/freeze lorsque l’onglet “script” est activé sur certain sites.

Une fois l’onglet “script” désactivé, la fluidité reviens.



A part avec firebug et flash player, je n’ai jamais eu de soucis de ralentissement..







Arrêtez d’utiliser cette bouse en JS de firebug, Firefox a maintenant un débogueur bien plus complet, bien plus poussé que Firebug. (Clic droit, Examiner l’élément) ;)



(Et il y a encore bien plus de panneau à activer dans les paramètres du débogueur)..


votre avatar







Xarkam a écrit :



C’est ca que j’aime chez mozilla. On corrige les problèmes en contournant les problèmes.





Ben vaut peut-être mieux désactiver une fonctionnalité mal rodée et corriger sereinement la faille que de la corriger en pagaille, et d’en avoir une autre…&nbsp;


votre avatar







g30lim4 a écrit :



Arrêtez d’utiliser cette bouse en JS de firebug, Firefox a maintenant un débogueur bien plus complet, bien plus poussé que Firebug. (Clic droit, Examiner l’élément) ;)



(Et il y a encore bien plus de panneau à activer dans les paramètres du débogueur)..





+1 pour abandonner Firebug. Ctrl Maj I, et on a un truc qui fonctionne du tonnerre.

&nbsp;

Et l’ardoise Javascript permet même de sauvegarder les scripts et TernJS fait un petit malheur au niveau analyse sémantique (complétion, etc). Ce même moteur est présent dans Eclipse -&gt;http://marketplace.eclipse.org/content/tern-eclipse-ide

&nbsp;


votre avatar

Il faut attendre la version 3… qui tarde. Il faut dire il est reparti de zéro en ce basant sur l’outil interne du navigateur. La version 2 de Firebug est juste une calamité… malheureusement pour moi elle a pleins de petits trucs que j’aime bien.

votre avatar







joma74fr a écrit :



firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash

= pages web difficiles à s’afficher + extinction inopinée et prématurée du navigateur





Même chose, à ajouter pas mal de plantages…


votre avatar







moi1392 a écrit :



Ça aurait pu être une excellente idée pour accélérer l’adoption de http/2 coté serveur <img data-src=" />





Justement, le souci est précisément avec HTTP/2, les versions antérieures n’ont pas ce souci (du moins avec Firefox).


votre avatar







zefling a écrit :



Franchement, si je pouvais m’en passer… je le ferais bien volontiers, surtout qu’on a vieille version 11 toute pourrie.





Perso, chez moi, je n’ai plus ni Flash ni Java et je ne m’en porte pas plus mal (mieux en fait). J’ai encore Silverlight ceci dit …


votre avatar

Bha, j’ai plus que Flash et juste parce que sur 2-3 sites j’en ai besoin. Vivement que Shumway le dégage.

votre avatar







zefling a écrit :



J’ai l’impression que c’est Flash qui fout la merde, ou l’accélération matériel… ou les deux ensembles.





idem, sur deux de mes machines, lire une video flash (youtube par exemple), le plugin crash quasi direct…



a noter que le probleme n’est pas nouveau, ca va et ca viens depuis 2 ans…..serait temps qu’ils le regle……. c’est penible.



bizzarement, aucun probleme sous les autres navigateurs


votre avatar

C’était une blague :‘( Sous entendu que ce sont les gens qui veulent pouvoir se servir de la faille qui du coup auraient poussé les migrations !

J’avais bien compris le problème sinon.

votre avatar

Étant sous Linux Mint 17.1, pas de problème avec Firefox 37 (même 37.0.1), je n’ai par contre pas le plugin Flash ni Java (je ne m’en sers pas). Par contre YouTube en HTML5, ça fait monter le CPU en charge de façon conséquente… de mémoire avec Flash c’était moindre.

Pour info j’ai 7 extensions et 2 plugins (dont OpenH264 de Cisco et Silverlight via pipelight, obligation pour avoir accès à une plate-forme web développer sans prendre en compte les gens comme moi sous Linux… un classique).



La MàJ faisait 30 Mo de mémoire de 37 -&gt; 37.0.1, étonnant comme le disaient certains pour une simple désactivation d’option qu’il n’y ai pas de MàJ avec delta.



Et pour ceux qui disent que Firefox sous Linux ça n’a jamais été stable ou que ça crash sans cesse, c’est faux. Je l’utilise depuis plusieurs années sans souci. Je le laisse tourner toute la journée (donc 8-9h) avec une vingtaine d’onglets environ.

votre avatar

Firefox ça commence vraiment à devenir n’importe quoi. Voilà maintenant que sur la version 38 le paramétrage des options en mode fenêtré a disparu au profit d’un immonde paramétrage de style page web.

Firefox 37 désactive son chiffrement opportuniste à cause d’une faille

  • Chiffrer les connexions, même sans HTTPS

  • Une faille simple à exploiter, mais limitée aux serveurs HTTP/2

Fermer