Firefox fait la chasse aux clés de chiffrement trop faibles, le projet Mortar avance
Coup de pouce, coup de coude
Le 03 octobre 2016 à 12h00
4 min
Logiciel
Logiciel
Depuis peu, certaines connexions sécurisées à des sites peuvent être refusées par Firefox. Il s’agit d’une mesure voulue par Mozilla, qui a expliqué dans un récent billet la raison de ce refus : lutter contre certaines clés de chiffrement trop faibles. Dans le même temps, Mozilla en dit un peu plus sur son projet Mortar.
Environ 7 000 des 140 000 sites les plus visités sont, selon ComputerWorld, concernés par ce blocage des connexions sécurisées. L’explication tient dans un billet assez court publié par l’ingénieur David Keeler, de Mozilla, il y a quelques jours : certaines clés utilisées pour la négociation TLS sont tout simplement trop courtes.
Une conséquence directe de la faille Logjam
La mesure concerne plus spécifiquement l'échange de clés Diffie-Hellman lors de la négociation initiale afin d'établir une connexion sécurisée. Ce protocole octroie certains bénéfices, notamment la confidentialité persistante qui empêche un pirate de récupérer des données en cas de fuite de la clé privée. Mais cette technique a aussi son lot de problèmes dans certains cas.
Le plus important est une conséquence de la faille Logjam, que nous avions analysée en mai 2015. Pour rappel, un pirate l’exploitant pouvait provoquer la rétrogradation de la sécurité d’un serveur en le forçant à se servir de clés de 512 bits. Une protection trop faible pour résister efficacement aux attaques. La faille avait été corrigée, mais il était recommandé à tous les acteurs impliqués de passer si possible à des clés de 1 024 bits au moins, et même de 2 048 bits si possible.
Point de salut en-dessous de 1 024 bits
Plus d’un an après, Mozilla juge que les utilisateurs ne peuvent plus attendre. Des sites utilisent encore des clés trop faibles. Firefox ne doit donc plus prendre le risque selon l’éditeur : toute connexion « sécurisée » exploitant le protocole Diffie-Hellman avec des clés de 1 023 bits ou moins sera toute simplement refusée. Côté utilisateur, le symptôme est une erreur spécifique : « ssl_error_weak_server_ephemeral_dh_key », « dh » signifiant ici Diffie-Hellman.
Signalons que Firefox est le premier à agir en ce sens, mais que d'autres navigateurs pourraient suivre rapidement. En mai de l'année dernière, Google avait en effet annoncé que « les serveurs qui utilisent actuellement DHE [Diffie-Hellman Exchange] devraient se mettre à jour et passer à Elliptic curve Diffie–Hellman. Si cela est impossible, utilisez au moins DHE avec des groupes de 1024 bits et ne soyez pas trop surpris si Chrome commence à utiliser du chiffrement RSA avec votre site dans le futur ».
Notez que sur les mêmes 140 000 sites les plus visités, 67 % possèdent des clés 2 048 bits. Cependant, il suffit parfois d’un seul site pour déclencher une fuite de données importante. Les deux dernières années ont prouvé à bien des reprises qu’une sécurité laxiste pouvait avoir de fortes répercussions sur les données des utilisateurs. La récente confirmation des 500 millions de comptes Yahoo piratés tient lieu de rappel.
Mozilla veut intégrer PDFium et l’API Pepper dans Firefox
Parallèlement, les ingénieurs de Mozilla travaillent sur la poursuite du projet Mortar. Derrière ce nom se cache une volonté simple : réduire autant que possible le coût d’entretien de Firefox afin que les ressources soient consacrées à d’autres activités.
Dans le cadre de Mortar, l’éditeur réfléchit donc à intégrer deux projets déjà existants : PDFium et l’API Pepper. Le premier est conçu par Google et est tout simplement un lecteur PDF. Firefox en possède bien un, mais puisque le projet de Google est open source, il peut être intégré dans Firefox en tant que tel. Quant à l’API Pepper, elle permettrait à Firefox de se débarrasser enfin de l’ancienne version NPAPI du plugin Flash en adoptant une architecture plus moderne.
Dans un cas comme dans l’autre, le résultat n’est pas garanti. Comme indiqué par Mozilla, les ingénieurs ont actuellement des prototypes fonctionnels de Firefox avec PDFium et Pepper, mais du travail reste à accomplir. L’idée serait de proposer ces deux ajouts – si tout se passe bien – durant le premier semestre 2017. Dans le cas de PDFium, le lot de fonctionnalités contiendrait la lecture, la sauvegarde locale des documents, l’impression et la possibilité de remplir les formulaires PDF. D’ici la fin de l’année en cours, toutes les opérations de base devraient être gérées (chercher, zoom, rotation, etc.).
Firefox fait la chasse aux clés de chiffrement trop faibles, le projet Mortar avance
-
Une conséquence directe de la faille Logjam
-
Point de salut en-dessous de 1 024 bits
-
Mozilla veut intégrer PDFium et l’API Pepper dans Firefox
Commentaires (55)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/10/2016 à 12h10
Ils ont changé d’avis sur Pepper ?
Le 03/10/2016 à 12h15
édit. Rien
Le 03/10/2016 à 12h20
Vu que je ne peux plus éditer le message : si jamais Pepper vient à être intégré, j’espère que Flash sera directement intégré dans Firefox (ou disponible via un fichier léger à télécharger) et qu’on aura pas à télécharger Chrome en plus pour utiliser le plugin.
Le 03/10/2016 à 12h25
Euh… Je pensais que Mozilla voulait se débarrasser complètement de Flash…
" />
Le 03/10/2016 à 12h35
Et le scooter Mortar il l’a volééééééé …
" />
Le 03/10/2016 à 12h55
Il va falloir que tu expliques la blague à ceux nés après 1991…
Le 03/10/2016 à 13h00
Toujours la
" /> Firefox 
" />
Le 03/10/2016 à 13h02
Le 03/10/2016 à 13h02
C’est marrant quand une boite comprend rien, ils vont tout droit.
Ce genre de travail et typiquement sans intérêt, tout le monde, sauf éventuellement 1 ou 2 geek paumé, se fout de cette information.
Par contre, qu’ils rendent Firefox moins glouton, ça, ce serait une bonne piste de travail.
Le 03/10/2016 à 13h07
C’est plutôt pas mal pour les pros. Si Firefox a un bon lecteur de pdf intégré, plus besoin d’Adobe et donc un logiciel de moins à maintenir à jour.
Le 03/10/2016 à 13h16
Objectivement, c’est déjà le cas. Le lecteur pdf intégré sur chrome ou firefox est largement suffisant dans 99% des cas ( hors infographiste)
Le 03/10/2016 à 13h24
Ils ne gèrent pas encore l’API 3D de PDF, donc le pourcentage est plus proche de 95% que de 99%
" />
Le 03/10/2016 à 15h55
Dans leur logique actuelle, pour réduire les coûts de maintenance de Firefox, ils peuvent juste proposer un skin pour Chromium.
" />
comme cela ils pourront consacrer leurs ressources à d’autres priorités.
Ils arrêtent au fur et à mesure leurs projets et maintenant ils font marche arrière même sur Firefox
Le 03/10/2016 à 16h02
Le 03/10/2016 à 16h27
Pour tous normalement. Va faire un tour dans tes options pour voir.
Le 03/10/2016 à 16h41
Il y a “abonnés” écrit à côté de la redirection HTTPS !
Le 03/10/2016 à 17h01
C’est prévu mais les régies publicitaires ne sont toutes prêtes au HTTPS:
Next INpact
Next INpact
À terme, le fait que la régie publicitaire propose HTTPS sera un critères de sélection pour Nextinpact.
Le 03/10/2016 à 17h39
Le 03/10/2016 à 18h00
Le 03/10/2016 à 18h04
Le 03/10/2016 à 18h24
Le 03/10/2016 à 18h50
Notez que sur les mêmes 140 000 sites les plus visités, 67 % possèdent des clés 2 048 bits.
Ca fait quand même près de 47 000 sites qui ne pourront plus s’afficher !
Ou alors ça sera juste un avertissement de non sécurité ? J’ai pas bien compris ce qu’était cette “connexion refusée”… C’est Firefox qui décide seul, et ne laisse pas le choix à l’utilisateur ?
Le 03/10/2016 à 19h10
Pas convaincu et vu comment la MozFondation gère ses ressources, c’est pas qu’un problème d’argent. Depuis la mort de Firefox OS, la MozFondation n’a plus d’objectif à moyen terme.
On fait de la projectivite!
Le 03/10/2016 à 19h11
C’est aussi 47000 sites où des pirates peuvent chopper facilement des données +/- confidentielles.
Le 04/10/2016 à 01h56
Le 04/10/2016 à 07h10
Dans le monde pro, oui. Inspection de pièces 3D, etc…
Ça reste un format d’échange “standard” entre un bureau d’étude et un client qui ne nécessite que d’installer Adobe Reader, et pas une suite 3D complète.
Le 04/10/2016 à 07h32
Perso, les régies publicitaires ne m’intéressent pas, je ne paye pas une connexion internet pour avoir de la pub dessus selon la règle :
Le site propose ce que le visiteur dispose.
Le 04/10/2016 à 08h25
Va jusqu’au bout de la logique si tu veux que les rédacteurs de NXI vivent de leur métier : abonne toi.
Perso, je préfère payer par la vision de pubs (ABP désactivé ici).
Le 04/10/2016 à 08h26
Certes mais ce n’est pas à Firefox de le décider. Il devrait alerter, mais laisser le choix à l’utilisateur, qui en connaissance des risques, décide ou pas de poursuivre sa navigation. On a depuis des années un message disant que le certificat xxx était mauvais, veut-on poursuivre ou pas (en mettant une exception). Pourquoi ce système n’est pas repris ?
Le 04/10/2016 à 08h37
Pour forcer les sites à changer très rapidement.
Le 04/10/2016 à 09h04
Je suis handicapé et mon allocation ne me permet pas de m’abonner à tous les sites, je préfère m’acheter à manger. D’autre part, je n’ai ni de chéquier ni de carte bleue donc je ne peut pas m’abonner même si je voulais et le payement en espèce n’est pas proposé alors que c’est obligatoire (article R 642-3 du code pénal), à ceux qui ne savent pas, il y a de nombreux moyen pour payer en espèce à distance.
Ma connexion internet n’étant pas extensible, je choisis ce qui y passe.
D’autre part, la publicité est une entrave à la liberté de choisir objectivement donc aucune publicité n’est acceptable. Je suis par-contre abonné à Que-choisir qui aide à choisir objectivement.
Une question tout de même :
Si je dois désactiver mon bloqueur de publicité pour tout les sites, ça sert à rien, non ?
Je peux toujours le désactiver et mettre la liste dans mon fichier hosts.
Le 04/10/2016 à 09h45
Et bien, dans ce cas, paye NXI avec l’affichage de pubs ou dis leur clairement, que leur travail ne vaut rien. Ils te laisset le moyen de choisir la pub ou l’abonnement. Assume un peu. Ton handicap ne doit pas être une excuse pour les priver de tout revenu.
Et pour ta citation du code pénal, laisse moi rire. Tu peux payer en espèce au siège de la société à Bordeaux puisque c’est effectivement autorisé par la loi, mais je ne suis pas sûr que ça t’arrange.
Le 04/10/2016 à 10h22
Oui il y a le choix d’avoir ses revenus avec de la pub, d’autre choisissent un revenu honnête.
Un exemple :
Libération est réservé au abonnés, seul 7 articles par mois sont offert à tous.
Aujourd’hui, Next Inpact me laisse le droit de bloquer la pub sans me bloquer l’accès du site ce qui veut dire que ça dérange personne.
J’assume, si demain, Next Inpact veut bloquer ceux qui utilise un bloqueur, je n’irai plus sur NI.
Et je vais te dire : Si je dois me passer de mes 2 ou 3 visites / mois, je n’en mourais pas.
Oui, je te laisse rigoler mais les CGV sont clair et sans ambiguïté dans le paragraphe 2- Modalités de paiement
Le paiement en espèce n’est pas un moyen de paiement accepté.
Le paiement en main propre n’est pas une option pour de la vente à distance. l’obliger est de la discrimination au paiement en espèce ce qui est illégal.
Le 04/10/2016 à 10h31
C’est ton interprêtation, rien ne dit que les sites vont changer quelque chose.
Par contre les visiteurs qui vont se retrouver bloqués sans même comprendre pourquoi, ça c’est immédiat et sans alternative possible (en restant sur Firefox).
Alors pourquoi tout simplement ne pas bloquer les millions de sites qui sont encore en HTTP ? Là aussi les pirates peuvent trouver les infos des visiteurs.
Est-ce vraiment le boulot de Mozilla de bloquer arbitrairement ? Ou bien il serait préférable d’avertir du danger, et de laisser chacun choisir ?pirates peuvent chopper facilement des données +/- confidentielles.
Le 04/10/2016 à 10h31
Le 04/10/2016 à 10h51
Oui, enfin c’est pas grave non plus, 7 articles c’est suffisant pour moi.
" />
Si tu bloques tout les sites non sécurisé, 90 % des sites d’actualités seront bloqué
Mais c’est vrai que le principe est un peu dur. Ce n’est pas vraiment à Mozilla de décider ça.
De la sécurité déprécier, c’est mieux que juste du http qui n’est pas bloqué lui.
Le 04/10/2016 à 17h35
Lire ce torchon…
" />
Le 04/10/2016 à 18h02
Les sites en HTTP ne sont pas marqués comme sécurisés. Là les sites se font passer pour des sites sécurisés alors qu’ils ne le sont pas, ils sont donc bloqués.
Le 04/10/2016 à 18h19
Le 03/10/2016 à 13h27
Le 03/10/2016 à 13h32
Le 03/10/2016 à 13h32
J’ai toujours eu d’énormes problème en impression de pdf depuis Firefox (on a pas chrome/chromium) dans la boite. Jamais compris d’où ça venait, du coup j’espère qu’avec le nouveau module ça ira mieux.
Le 03/10/2016 à 13h40
Mais Firefox est un navigateur, pas un lecteur de PDF. T’as des logiciels (Evince) très bien et très légers (pas Adobe Reader) pour ça. Tu as un lecteur “basique” sous Firefox, je m’en sers pour lire mes datasheets, et dès que j’ai besoin de chercher des trucs dedans c’est que j’en aurai besoin pendant plusieurs jours >> enregistrement en local.
Tu as déjà plein de pages web qui travaillent en concurrenciel et en non-natif, tu ne vas quand même pas rajouter un pdf de 600 pages, si ? À ce niveau, on n’a plus le droit de se plaindre de la demande en RAM de Firefox.
Le 03/10/2016 à 13h43
Si ils l’ont développée c’est que oui ! À croire qu’il y a des gens qui utilisent des formats pas faits pour ça
" />
" />
Sans troll, ça ne m’étonne pas, pour des docs techniques. Mais autant mettre une image dans le PDF et fournir un fichier (STL/autre) adapté qui sera lu par un logiciel optimisé pour.
Mais les gens d’aujourd’hui ne savent pas utiliser les bons outils : ils prennent Firefox pour un lecteur de PDF !
Le 03/10/2016 à 13h44
Firefox utilise quel backend pour les PDFs sous Windows ? Sous Linux il utilise Evince, c’est pas incroyable (la recherche galère un peu), mais c’est largement suffisant.
Le 03/10/2016 à 13h45
et l’impression sur Mac d’un PDF depuis chrome, ça merde assez souvent (orientation, taille, couleurs, etc…)
et pas que sur mac d’ailleurs, j’avais aussi quelques soucis d’orientation sur Windows.
Le 03/10/2016 à 14h09
Le 03/10/2016 à 14h21
Toutes les versions de Firefox utilisent par défaut le lecteur de PDF intégré… à Firefox
" />. Si le tien utilise Evince, c’est que toi (ou ta distrib) l’a configuré pour.
Le 03/10/2016 à 14h40
Se serait formidable s’ils enlevaient Pocket, Reader, Gamepad, le lecteur PDF ( et qu’ils ne remettent pas un autre lecteur PDF, on a déjà pleins de logiciels qui lisent les PDF ) et le plugin Codec Vidéo OpenH264 ! Qu’ils intègrent Adobe Flash Player dans Firefox et qu’il le retire à sa mort !
" />
Le 03/10/2016 à 14h40
Le 03/10/2016 à 14h45
Pff, quel intérêt de dépenser du temps pour NPAPI? Mozilla déclare la mort prochaine des plugins puis lance un projet NPAPI, quel idiotisie!
Pareil, ils ont travaillé sur le lecteur PDF intégré et quand il commence à arriver a maturité, ils prenneraient celui de Google?
Ils font ça pourquoi? Pour économiser leur ressource, j’ai des doutes…
Le 03/10/2016 à 15h17
Puisqu’on parle de site non sécurisé :
Une version sécurisé de Nextinpact, c’est pour quand ?
Le 03/10/2016 à 15h20
PDFium dans Firefox ? Alors là je dis oui, le lecteur actuel, quel tas de bouse immonde et lent, je vais pas le regretter celui là.
Le 03/10/2016 à 15h36
Le 03/10/2016 à 15h37