Firefox 37 désactive son chiffrement opportuniste à cause d’une faille
L'enfer est pavé de bonnes intentions
Le 08 avril 2015 à 13h00
3 min
Internet
Internet
Lors de l’arrivée de Firefox 37, Mozilla mettait en avant une nouvelle fonctionnalité, baptisée « chiffrement opportuniste ». L’éditeur a dû cependant la désactiver, car son implémentation contient une sérieuse faille de sécurité qui peut permettre un contournement complet des protections HTTPS.
Chiffrer les connexions, même sans HTTPS
Firefox 37 portait avec lui une promesse de sécurité accrue par l’entremise du chiffrement opportuniste. Cette méthode particulière permet au navigateur d’établir une connexion chiffrée avec un serveur, même si aucune sécurisation du flux n’a été prévue. Bien entendu, pas question d’obtenir une aussi grande efficacité qu’avec une vraie connexion HTTPS, mais la technique permet de protéger au moins un minimum le flux en essayant de le chiffrer.
La technique n’est pas nouvelle, et Mozilla a visiblement fait une erreur dans son implémentation. Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste. L’erreur entraîne en effet une faille de sécurité qui pourrait être exploitée par des pirates, en présentant de faux certificats TLS, le navigateur ne remarquant alors pas la supercherie. L’exploitation est d’ailleurs simple à mettre en place puisque le site malveillant n’a qu’à placer un en-tête « HTTP/2 Alt-Svc » dans sa réponse au navigateur, court-circuitant la vérification des certificats.
Une faille simple à exploiter, mais limitée aux serveurs HTTP/2
La faille est considérée comme critique, puisque facilement exploitable depuis un serveur spécialement conçu pour en tirer partie, ce qui explique d’ailleurs la réponse rapide de Mozilla. Car contourner les certificats permet à un pirate de réorienter un utilisateur vers un flux « sécurisé » utilisant justement un faux certificat, autorisant finalement un faux site à se faire passer pour ce qu’il n’est pas.
Le seul facteur limitant l’exploitation de la faille est qu’il s’agit d’un problème spécifique à HTTP/2, qui est encore très peu utilisé côté serveurs. Cependant, comme le précise Sophos dans un billet publié hier, le nouveau protocole (qui n’est pas encore finalisé) est déjà géré par Apache et Nginx, ainsi que par la version d’IIS incluse dans Windows 10. L’éditeur ajoute que sans correction du bug, des pirates auraient pu être tentés justement par la création de serveurs utilisant HTTP/2.
Les utilisateurs de Firefox doivent donc vérifier qu’ils utilisent bien la mouture 37.0.1 pour ne pas être vulnérables. Notez que même si Mozilla explique dans son bulletin de sécurité que le bug a été « corrigé » dans cette version, ce n’est en fait pas le cas, puisque la fonctionnalité a simplement été désactivée. L’un des responsables de l’éditeur, Chad Weiner, a d’ailleurs précisé à Ars Technica qu’elle sera réactivée plus tard, quand les ingénieurs auront fait le tour du problème.
Firefox 37 désactive son chiffrement opportuniste à cause d’une faille
-
Chiffrer les connexions, même sans HTTPS
-
Une faille simple à exploiter, mais limitée aux serveurs HTTP/2
Commentaires (52)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/04/2015 à 14h20
Le 08/04/2015 à 14h22
Dans l’urgence et si la véritable correction est longue et fastidieuse à mettre en place et/ou à valider, la meilleur des choses à faire c’est de désactiver la fonctionnalité et c’est ce qu’ils ont fait !
Le 08/04/2015 à 14h24
Il dit qu’il a plus de genoux.
Le 08/04/2015 à 14h25
Quel paramètre du about:config ?
J’ai trouvé celui-là : network.http.atsvc.enabled
Le 08/04/2015 à 14h32
Aucun souci sous Ubuntu non plus
Le 08/04/2015 à 15h22
Pareil, depuis quelques mois c’est très compliqué sur ubuntu. Obligé de virer firebug. Mais je vais tenter de ré-activer avec l’onglet scripts de désactiver.
(Activer, désactiver, activer hein ?)
Le 08/04/2015 à 15h35
Le 08/04/2015 à 15h39
J’ai l’impression que c’est Flash qui fout la merde, ou l’accélération matériel… ou les deux ensembles.
Le 08/04/2015 à 15h46
Pas de soucis sans Firebug de mon coté. (Hormis quelques crashs de temps en temps)
Le 08/04/2015 à 15h47
Le 08/04/2015 à 16h52
Le 08/04/2015 à 16h52
C’est le cas chez Microsoft aussi, et ce n’est pas le seul.
Certaines mises à jour désactivent des fonctionnalités, parfois même par une simple clé de registre.
Le 08/04/2015 à 16h53
Perso, depuis quelques temps, j’ai parfois les onglets qui freezent et/ou se mélangent. Je sais pas à quoi c’est dû mais c’est chiant.
Le 08/04/2015 à 17h04
Ca vient de canonical.
Sous Windows, tu as juste un delta à télécharger.
Le 08/04/2015 à 17h37
Franchement, si je pouvais m’en passer… je le ferais bien volontiers, surtout qu’on a vieille version 11 toute pourrie.
Le 08/04/2015 à 17h52
Le 08/04/2015 à 13h18
Sauf qu’ils ne corrigent rien et ne contournent rien.
Merci, salut.
Le 08/04/2015 à 13h19
Attention à firebug, j’ai eu de très gros ralentissement/freeze lorsque l’onglet “script” est activé sur certain sites.
Une fois l’onglet “script” désactivé, la fluidité reviens.
A part avec firebug et flash player, je n’ai jamais eu de soucis de ralentissement..
Le 08/04/2015 à 13h20
Je crois que t’as rien compris. Entre ne pas avoir un truc et avoir un truc qui fout la merde, est-t-il pas préférable de ne pas l’avoir tant que ce n’est pas stable ?
Le 08/04/2015 à 13h21
Perso, sous Linux, j’ai beaucoup de crashes depuis 2 semaines… Ça devient un peu lourd. Aucun problème sous Windows au boulot.
Le 08/04/2015 à 13h22
Le 08/04/2015 à 13h34
Le 08/04/2015 à 13h38
Bof, un troll aurait été d’expliquer que le seul navigateur qui vaille la peine sous Linux, c’est IE.
" />
Le 08/04/2015 à 13h39
Le 08/04/2015 à 13h48
Le 08/04/2015 à 13h51
Pas testé la version bin, aucun pb sous gentoo. Ça vaudrait peut-être le coût de lire les messages d’erreur pour voir pourquoi il plante.
Le 08/04/2015 à 13h56
Pffiou, rien que ça… Quand je vois la différence (visuelle !) entre un Opera (ou un Vivaldi), un FF avec une 10zaine d’extensions et un FF sans extensions (en safe mode par exemple), je me demande à qui revient la faute d’être plus lent que la moyenne: les extensions ? le moteur de rendu ? le navigateur ? l’OS ?
Sur mes sites auto-hébergés (Tiny Tiny RSS et Pydio), le rendu général est tellement meilleur que je préfère désormais passé par les navigateurs blinkés (en évitant Chrome, faut pas abuser).
Le 08/04/2015 à 13h56
Le 08/04/2015 à 13h57
C’est ce que j’aurai dit mais j’ai eu peur de passer pour ça: 
" /> ^^
Le 08/04/2015 à 13h59
Le 08/04/2015 à 14h00
Le 08/04/2015 à 14h00
Les utilisateurs de Firefox auront ainsi remarqué qu’une mise à jour a été déployée hier. Numérotée 37.0.1, elle a pour mission de désactiver le chiffrement opportuniste.
Vu ouaip. DL 42Mo pour désactiver une fonctionnalité, chapeau. Je sais pas si ça vient de mozilla ou de canonical, mais question efficacité, on a vu mieux
Le 08/04/2015 à 13h09
firefox 37.0 + quelques plugins et extensions incompatibles avec la version 37 + adobe flash
= pages web difficiles à s’afficher + extinction inopinée et prématurée du navigateur
Le 08/04/2015 à 13h11
Ça aurait pu être une excellente idée pour accélérer l’adoption de http/2 coté serveur
" />
Le 08/04/2015 à 13h13
Une précision : nginx / nginx plus ne gère pas encore officiellement HTTP 2 (mais c’est en cours d’implémentation : cf. mailing list).
Le 08/04/2015 à 13h13
C’est ca que j’aime chez mozilla. On corrige les problèmes en contournant les problèmes.
Le 08/04/2015 à 13h17
Le 08/04/2015 à 19h14
A ma connaissance, Apache (HTTPD) ne gère pas encore le HTTP/2 dans sa version finale, donc à mon avis ce n’est pas déployé pour le moment.
Le 08/04/2015 à 19h27
Firebug, c’est pas fait pour naviguer, hein.
" />
" />
" />
On peut le désactiver site par site.
Pour avoir essayé avec Gmail, c’est une mauvaise idée de le laisser activé
Le 08/04/2015 à 20h24
Le 08/04/2015 à 21h18
Le 08/04/2015 à 21h23
Le 08/04/2015 à 21h25
Le 08/04/2015 à 22h00
Il faut attendre la version 3… qui tarde. Il faut dire il est reparti de zéro en ce basant sur l’outil interne du navigateur. La version 2 de Firebug est juste une calamité… malheureusement pour moi elle a pleins de petits trucs que j’aime bien.
Le 09/04/2015 à 05h24
Le 09/04/2015 à 08h36
Le 09/04/2015 à 08h43
Le 09/04/2015 à 08h58
Bha, j’ai plus que Flash et juste parce que sur 2-3 sites j’en ai besoin. Vivement que Shumway le dégage.
Le 09/04/2015 à 09h18
Le 09/04/2015 à 09h35
C’était une blague :‘( Sous entendu que ce sont les gens qui veulent pouvoir se servir de la faille qui du coup auraient poussé les migrations !
J’avais bien compris le problème sinon.
Le 10/04/2015 à 13h06
Étant sous Linux Mint 17.1, pas de problème avec Firefox 37 (même 37.0.1), je n’ai par contre pas le plugin Flash ni Java (je ne m’en sers pas). Par contre YouTube en HTML5, ça fait monter le CPU en charge de façon conséquente… de mémoire avec Flash c’était moindre.
Pour info j’ai 7 extensions et 2 plugins (dont OpenH264 de Cisco et Silverlight via pipelight, obligation pour avoir accès à une plate-forme web développer sans prendre en compte les gens comme moi sous Linux… un classique).
La MàJ faisait 30 Mo de mémoire de 37 -> 37.0.1, étonnant comme le disaient certains pour une simple désactivation d’option qu’il n’y ai pas de MàJ avec delta.
Et pour ceux qui disent que Firefox sous Linux ça n’a jamais été stable ou que ça crash sans cesse, c’est faux. Je l’utilise depuis plusieurs années sans souci. Je le laisse tourner toute la journée (donc 8-9h) avec une vingtaine d’onglets environ.
Le 12/04/2015 à 15h29
Firefox ça commence vraiment à devenir n’importe quoi. Voilà maintenant que sur la version 38 le paramétrage des options en mode fenêtré a disparu au profit d’un immonde paramétrage de style page web.