Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox : Mozilla corrigera demain une faille critique dans la gestion des certificats

Expiration précipitée

Firefox : Mozilla corrigera demain une faille critique dans la gestion des certificats

Le 19 septembre 2016 à 15h30

Mozilla travaille actuellement à la résolution d’une faille de sécurité importante dans Firefox. Difficile à exploiter, elle pourrait permettre à des pirates en ayant les moyens de déclencher une attaque de type « homme du milieu » à l’aide d’un faux certificat. Le correctif devrait être disponible demain.

La faille a été repérée la semaine dernière par un chercheur en sécurité, « movrcx ». Son billet concernait avant tout Tor Browser, dont les développeurs ont publié une nouvelle version vendredi. Estampillée 6.0.5, elle colmate la brèche dont les détails ont été fournis dans le même temps à Mozilla. Dangereuse, la vulnérabilité peut être exploitée sur n’importe quelle plateforme, mais pas de manière simple.

Une brèche dans un mécanisme de protection

Même si les détails précis ne sont encore pas tout à fait connus, on dispose des grandes lignes exposées par plusieurs chercheurs et dans le billet de Tor. La brèche permet de contourner le mécanisme dit de « certificate pinning », qui permet normalement aux navigateurs de se prémunir contre les usurpations d’identité, dans le cas où une autorité de certificat aurait été piratée. Quand une première connexion sécurisée s’établit avec un site, celui-ci présente une liste des certificats de confiance. Si lors d’une connexion ultérieure, un certificat est inconnu, elle ne pourra pas s'établir.

Selon le chercheur en sécurité Ryan Duff, la protection mise en place par Firefox ne fonctionne pas dans le cas d’un certificat créé à partir d’une autorité piratée. En temps normal, le navigateur ne devrait pouvoir accepter qu’un certificat correspondant à un domaine ou à un sous-domaine spécifique, en rejetant tous les autres. Malheureusement, un pirate peut exploiter une certaine forme de clé statique qui n’est pas basée sur le protocole HTTP Public Key Pinning (HPKP), Firefox ne gérant pas correctement la date d’expiration des certificats.

Le correctif sera diffusé demain

La faille a été exposée pour la première dans le billet de movrcx mardi dernier. Elle était alors annoncée comme fonctionnant sur toutes les versions de Tor Browser, quelle que soit la plateforme. Les développeurs de ce dernier ont rapidement réagi, publiant vendredi l’annonce, les informations entourant la vulnérabilité et une nouvelle version du navigateur.

Dans la même journée, Mozilla a réagi. L’éditeur a indiqué que la faille résidait bien dans Firefox (qui sert de base technique à Tor Browser), qu’elle avait été inspectée et qu’un correctif serait diffusé le 20 septembre, c’est-à-dire demain. Le mécanisme déficient a en fait été déjà corrigé dans la Developer Edition du navigateur publiée le 4 septembre, mais le problème des dates d’expiration se retrouve aussi dans les versions classiques et ESR (Extended Support Release). En clair, toutes les versions actuelles de Firefox sont concernées.

100 000 dollars pour une exploitation multiplateforme

Dans le cas le plus grave, un pirate pouvait exploiter cette expiration prématurée des certificats pour faire passer un serveur comme faisant partie de ceux alimentant le service de Mozilla pour la distribution des extensions (addons.mozilla.org). L’éditeur a annoncé en conséquence que le protocole HPKP avait été activé sur son serveur, de manière à ce que les utilisateurs restent protégés.

Cependant, un groupe de pirates qui en aurait suffisamment les moyens (techniques et financiers), comme ceux soutenus par les États, pourraient très bien parvenir à leurs fins. Même si la faille n’est pas simple à exploiter, le risque zéro n’existe pas. Selon le découvreur de la faille, un budget de 100 000 dollars serait nécessaire pour utiliser la faille et lancer une attaque multiplateforme, avec à la clé un vol d’informations et/ou une exécution de code arbitraire.

En attendant la mise à jour de Firefox, mieux vaut ne pas l'utiliser

La mesure idéale de protection est donc d’utiliser un autre navigateur jusqu’à demain, quand la nouvelle version de Firefox sera disponible. Si vous utilisez Tor Browser, la récente version 6.0.5 vous protège contre toute exploitation. Si vous n’avez pas encore fait la mise à jour, les développeurs de Tor encouragent à la télécharger le plus rapidement possible.

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ça reste une faille difficile a exploiter, qui demande de solides connaissances. Le risque est critique certes, mais l’exploitation tellement difficile avec une correction qui sera effective demain. D’ici là il n’y a objectivement que peu de risque de se faire exploiter, si j’ose dire, en utilisant FF encore ou Tor d’ici demain.

votre avatar

l’attaque de type “homme du milieu” ça fait penser à un mec en costard rayé et borsalino qui braque les internautes avec un gros flingue.

votre avatar







picatrix a écrit :



l’attaque de type “homme du milieu” ça fait penser à un mec en costard rayé et borsalino qui braque les internautes avec un gros flingue.





Bah, c’est un peu ça finalement 


votre avatar

C’est plutôt le mec en salopette et casque qui grimpe au piquet de la ligne de téléphone pour aller brancher son appareil pour écouter les conversations du voisin <img data-src=" />

votre avatar

Quand il ne fait qu’écouter !

Mais s’il a des talents d’imitateur, il peut modifier ce que dit l’interlocuteur.

votre avatar

“Ne plus utiliser Firefox jusqu’à demain”

Paranoland

votre avatar

Correctif dispo demain. Et dans une semaine sur ma Debian Stretch.<img data-src=" />

votre avatar

Une femme en tailleur plutôt <img data-src=" />



(dans les schémas de crypto, “l’homme du milieu” voulant écouter la conversation entre Alice et Bob s’appelle en général Mallory)

votre avatar







John Shaft a écrit :



(dans les schémas de crypto, “l’homme du milieu” voulant écouter la conversation entre Alice et Bob s’appelle en général Mallory)





Ah oui, je savais pas. On sait pourquoi ?


votre avatar

Bonne question. A priori le M de “middle”

votre avatar

Passe en stable + backports. :-p

votre avatar

C’est ce j’allais dire combien temps avant que les distribution soit patché

votre avatar







boogieplayer a écrit :



Ah oui, je savais pas. On sait pourquoi ?





Parce que les femmes sont toutes des commères, prêtes a tout pour avoir droit en exclusivité au derniers potins.

Bien évidement!



Ok je sors.

&nbsp;

&nbsp;


votre avatar







HugoPoi a écrit :



C’est ce j’allais dire combien temps avant que les distribution soit patché







C’est ce QUE j’allais dire, combien DE temps avant que les distributionS soiENt patchéES ?

(T’étais au fond de la classe toi, je me trompe ?)

&nbsp;

Les distributions ne seront pas patchées. Firefox, oui.


votre avatar



demain on rase gratis

votre avatar

Et pour la version Firefox ESR ça sera déployé en mode urgence ou il va falloir attendre ? Au boulot je suis bloqué sur cette version …

votre avatar

Les critiques sur la sécurité de Firefox porte sur son absences de bac à sable que possèdent tous ses concurrents. Si le navigateur a une faille dans certaines fonctionnalités, il n’a pas de deuxième pour en limiter la portée. Le bac à sable fournit cette deuxième ligne de défense. Quand on sait que le navigateur ressemble de plus en plus à un OS, c’est un défaut de plus en plus important pour Firefox (dont je suis l’utilisateur).



Un des efforts de bord du projet electrolysis et qu’il va permettre la mise en place de cette fonctionnalité.

C’est assez avancé dans la version Linux de Firefox:https://bugzilla.mozilla.org/show_bug.cgi?id=742434#c24

&nbsp;

votre avatar

Je pense avoir compris la même chose, entre autre en suivant les liens de l’article.



La faille me semble ne toucher que les addons et pas les certificats vers les sites WEB “normaux”.



Cependant, cela reste une faille importante si l’on peut remplacer un addon légitime par un autre maléfique qui peut faire plein de choses.

votre avatar







matroska a écrit :



Mouais, la dernière fois que j’ai vanté Firefox ici on m’a bien stipulé qu’il était à la ramasse niveau sécurité. Je me suis renseigné. Bah ça m’a attristé mais c’est la vérité. Ce n’est plus ce que c’était. Même Chrome est plus secure et très vite corrigé contrairement à FF qui attend et fait un pack de patchs.



<img data-src=" />





+1000.


votre avatar

La version ESR (45.4.0) devrait avoir la correction, le fait que cela soit une version mineur (la quatrième) n’oblige pas les services informatiques à réauditer Firefox (sûrement juste quelques tests de routine, mais pas la grande batterie). Audit accéléré par le fait qu’il a une faille critique.

Plus d’info :

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox-esr/

ssi.gouv.fr République Française

ssi.gouv.fr République Française

ssi.gouv.fr République Française

votre avatar

J’entends bien. Après, e10s ne sera pas l’équivalent des onglets sandboxé de chrome ou edge. Chaque navigateur fait sa petite sauce au niveau de ce qui est sandboxé ou pas et comment.



Cette section wikipedia parle de sandboxage dans firefox. Et en détails sur le wiki sur e10s.



Mais toujours pas activé chez moi du fait de certains add-ons qui ne sont pas entièrement ou pas du tout fonctionnel avec e10s. Plus qu’à prier pour qu’ils soient mis à jour. Cette histoire demande beaucoup de temps et d’énergie aux dev de modules qui ont autres choses à foutre que de revoir leur code tous les 4 matins parce que Mozilla chamboule tout. Je comprends que certains modules vont disparaitre à cause de ça et pas forcement remplacés <img data-src=" />

votre avatar

Mais il y a une solution: interdire les modules sur les navigateurs. Bin ce sera sans moi, trop accroc aux fonctionnalités et commodités que ça m’apporte dans mon expérience web.

votre avatar

Bon c’est fini de raconter des conneries ?



Firefox n’a pas été sélectionné pour le pwn2own 2016 car il n’a pas eu d’évolution significative au niveau sécurité entre la précédente édition du concours et celle de 2016…



Ils n’allaient pas attaquer les même failles ? ça ne répond pas au besoin du concours !



Pour l’édition 2015 Firefox s’en était bien sorti devant IE 11 et à peine derrière Safari et Chrome…

votre avatar







fred_gaou a écrit :



Après, e10s ne sera pas l’équivalent des onglets sandboxé de chrome ou edge.





C’est sur mais le nettoyage que cela impose va faciliter le terrain pour la mise en place d’un bac à sable plus robuste.


votre avatar







matroska a écrit :



Disons que niveau vie privée lors des derniers contest de hacking Mozilla a carrément été refusé par les hackers à cause de sa trop grande simplicité à trouver des failles… Donc ça laisse perplexe…

<img data-src=" />






Vie privée et faille de sécurité sont deux problème séparé. Du peux avoir un navigateur parfaitement sur et qui facilite le vie a ceux qui veulent des informations sur ta vie privée.


Une faille de sécurité c’est plutôt un risque a se prendre une attaque ciblée. Si une faille est utilisée massivement, elle est vite repérée et corrigé.



Après il faut pas se leurrer : Chrome est aussi bourré de failles que Firefox. C’est juste que le sandboxing arrive a limiter la casse. Et les faille révélées sont corrigées très rapidement dans les deux cas. Pour l’utilisateur lambda c’est largement assez sûr, et pour les types surveillés par des agences gouvernementale, aucun des deux n’est sûr sans mesure supplémentaire.







matroska a écrit :



Même Chrome est plus secure et très vite corrigé contrairement à FF qui attend et fait un pack de patchs.






Tous les navigateurs ont toujours fait des mises a jour de sécurité par paquet, c'est normal. Si la faille a été découverte en interne, mieux  vaut prendre son temps et respecter le cycle établi qui permet d'assurer la qualité du dev et des test, que de prendre le risque de développer  un patch dans l'urgence qui pourrait provoquer d'autres problèmes.


&nbsp;Par contre, quand une vulnérabilité est découverte par un tier, ou que des exploit sont connus, c’est un risque avéré et le patch est généralement rendu disponible hors cycle.

&nbsp;





__Antho__ a écrit :



Et pour la version Firefox ESR ça sera déployé en mode urgence ou il va falloir attendre ? Au boulot je suis bloqué sur cette version …



&nbsp;&nbsp;&nbsp;

&nbsp;Bien sur, le principe de l’ESR c’est justement de bénéficier des mises a jour de sécurité de Firefox en même temps que la version classique, mais sans nouvelles fonctionnalités.

&nbsp;





fred_gaou a écrit :



Intéressant. Ça ne m’empêchera néanmoins pas de continuer d’utiliser firefox, irremplaçable pour l’instant par sa customisation, ses add-ons et le reste qui me convient. Et puis est-il autant une passoire après qu’on lui ait ajouté NoScript et µBlock origin?





NoScript et µBlock vont te protéger en grande partie du traçage publicitaire. Pour ce qui est des failles, c’est beaucoup moins probable,a moins qu’elle soient basées sur du javascript où qu’elle se propage via du contenu publicitaire qui serait bloqué.


votre avatar

Il y a une alternative à Chrome si tu cherches de la personnalisation, à savoir Vivaldi.

Il est aussi basé sur Chromium, mais toute la surcouche est différente, il est très paramétrable et personnalisable, et peut accueillir les add-ons de Chrome.



La seule chose qui peut en rebuter certains, c’est qu’il n’est pas libre, juste open source (sources chromium, modifs publiées sous licence BSD, et IHM en langage web entièrement lisible).

votre avatar

Faut reconnaitre que nu, Vivaldi étale la concurrence. Mais pourrais-je me passer de mes modules favoris de firefox, telle est la question. Je testerai quand firefox me sortira par les trous de nez c’est à dire quand mozilla aura détruit tout ce qui faisait sa force, les modules et les innovations. Il sont en route.

votre avatar

Tu citais µBlock Origin et il est bien présent sur Chrome/Vivaldi (c’est le seul addon que j’utilise avec un détecteur de flux RSS). NoScript je ne sais pas.

Mais oui, d’abord vérifie si t’y trouves ton bonheur, ça ne sert à rien si ça ne répond pas à tes attentes.



Le catalogue d’addons de Chrome est là :chrome.google.com Google

votre avatar







picatrix a écrit :



l’attaque de type “homme du milieu” ça fait penser à un mec en costard rayé et borsalino qui braque les internautes avec un gros flingue.





C’est ce que font toutes les entreprises pas très respectueuses de la vie privée de leurs employés en remplaçant les certificats SSL par le leur via le proxy d’entreprise.


votre avatar







__Antho__ a écrit :



Et pour la version Firefox ESR ça sera déployé en mode urgence ou il va falloir attendre ? Au boulot je suis bloqué sur cette version …





Les versions ESR recoivent les majs de sécurité, donc la prochaine màj de routine aura ce patch.

Actuellement, l’ESR supportée est la 45, à la fin de l’année ça sera la 52.


votre avatar

Oui pour le fond de la classe, mais le Ricard en est pour quelque chose.

votre avatar

Tiens au fait … on peut enfin télécharger la v49 …

votre avatar
votre avatar

Justement, comme ils n’ont apporté aucune modification majeure sur la sécurité ils ont estimé qu’il était trop facile à hacker par rapport à Chrome ou autre.



<img data-src=" />

votre avatar







tiret a écrit :



Passe en stable + backports. :-p





S’pour les noobs. <img data-src=" />


votre avatar

Firefox the best !!! <img data-src=" />

votre avatar







Boulbek a écrit :



Firefox the best !!! <img data-src=" />





Firefox, c’est un peu le Raymond Poulidor des navigateurs. <img data-src=" />


votre avatar







Ricard a écrit :



(T’étais au fond de la classe toi, je me trompe ?)

 

Les distributions ne seront pas patchées. Firefox, oui.







Et la version de Firefox présente dans les dépôts de paquets courants de ces distributions ?

Est-ce que ces paquets seront à jour demain ?


votre avatar

Mouais, la dernière fois que j’ai vanté Firefox ici on m’a bien stipulé qu’il était à la ramasse niveau sécurité. Je me suis renseigné. Bah ça m’a attristé mais c’est la vérité. Ce n’est plus ce que c’était. Même Chrome est plus secure et très vite corrigé contrairement à FF qui attend et fait un pack de patchs.



<img data-src=" />

votre avatar

Salut,



Je crois qu’il y a une petite confusion dans l’article, à moins que je suis déjà trop endormie.



Le bug ne se situe pas dans l’implémentation de HPKP, qui fonctionne plutôt bien, mais dans la signature des modules complémentaires.

Le processus de téléchargement des modules complémentaires n’utilisaient pas le même dispositif d’épinglage de certificat que le reste de Firefox. C’est ce dispositif qui est troué, il ne vérifie pas le certificat si celui-ci provient d’une autorité de certification reconnue, ce qui peut être un problème si un attaquant obtient un certificat valide pour addons.mozilla.org.

votre avatar

Pour moi c’est normal comme je pense Mozilla et Chrome ne ne joues pas dans la même cour. Pour moi je vois les choses comme cela :

Mozilla doit se débrouiller comme par exemple des dons qui reçoivent pour le financement.

Alors que tu vois Chrome à coté chrome a le soutien financier, la publicité que t’apporte Google c’est sur qu’il sera toujours niveau sécurité meilleur que Mozilla. Vu l’énorme différence de budget entre les 2.

Mais niveau vie privé je préfère largement Mozilla.

votre avatar

Disons que niveau vie privée lors des derniers contest de hacking Mozilla a carrément été refusé par les hackers à cause de sa trop grande simplicité à trouver des failles… Donc ça laisse perplexe…



<img data-src=" />

votre avatar

un lien?

votre avatar
votre avatar
votre avatar

Surtout que beaucoup de fonctionnalités de sécurité de Firefox utilisent des serveurs google pour fonctionner. Par contre, je trouve que Mozilla est plutot rapide pour corriger les failles de Firefox.

Vivement la sortie du navigateur avec Servo.

votre avatar

Intéressant. Ça ne m’empêchera néanmoins pas de continuer d’utiliser firefox, irremplaçable pour l’instant par sa customisation, ses add-ons et le reste qui me convient. Et puis est-il autant une passoire après qu’on lui ait ajouté NoScript et µBlock origin?



Bref pas assez parano pour passez à Chrome juste pour ça.

votre avatar

Firefox 49 vient de sortir, il est dans les miroirs de Mozilla ;)

votre avatar

Si un addon parvient à ajouter de la sécurité… J’imagine pas ce qu’un addon peut réellement causer comme dommages à l’application hôte.

votre avatar

merci de l’info

&nbsp;

Par contre pour ceux qui hésitent avec chrome, je pense qu’il vaut mieux utiliser chromium (sécurité de chrome sans la télémétrie google)

Firefox : Mozilla corrigera demain une faille critique dans la gestion des certificats

  • Une brèche dans un mécanisme de protection

  • Le correctif sera diffusé demain

  • 100 000 dollars pour une exploitation multiplateforme

  • En attendant la mise à jour de Firefox, mieux vaut ne pas l'utiliser

Fermer