Developpez.com

Le Club des Développeurs et IT Pro

Firefox va bloquer les sites Web avec des clés de chiffrement Diffie-Hellman vulnérables

Une mesure contre des attaques comme Logjam

Le 2016-10-02 23:41:42, par Malick, Community Manager

Mozilla vient d'annoncer le blocage, par son navigateur Firefox, des sites Web disposant de clés de chiffrement Diffie-Hellman faibles. Selon l'éditeur, son navigateur ne se connectera plus aux sites Web dont le serveur ne dispose pas d'une clé de chiffrement d'une taille qui sera au minimum égal à 1023 bits pour l’algorithme asymétrique Diffie-Hellman (DH).

Cette mesure a été prise par Mozilla contre les attaques comme Logjam exploitant des failles dans l'échange de clés Diffie-Hellman, afin de protéger la confidentialité des utilisateurs.

Pour rappel, l'algorithme asymétrique Diffie-Hellman (DH) est essentiellement utilisé pour échanger les clés symétriques favorisant le chiffrement d'un message. Wikipédia le définit comme suit : « En cryptographie, l'échange de clés Diffie-Hellman, du nom de ses auteurs Whitfield Diffie et Martin Hellman, est une méthode par laquelle deux agents nommés conventionnellement Alice et Bob peuvent se mettre d'accord sur un nombre (qu'ils peuvent utiliser comme clé pour chiffrer la conversation suivante) sans qu'un troisième agent appelé Ève puisse découvrir le nombre, même en ayant écouté tous leurs échanges. »

Mozilla affirme que les utilisateurs qui utiliseront un site dont le chiffrement est de faible qualité recevront un message d'erreur qui se présentera comme suit : ssl_error_weak_server_ephemeral_dh_key. Ce message matérialisera le refus de Firefox de se connecter au site Web demandé.

David Keller, ingénieur sécurité chez Firefox, soutient : « un certain nombre de sites ne sont toujours pas configurés afin de pouvoir utiliser des clés de chiffrement assez fortes ».

Source : blog Mozilla

Et vous ?
Que pensez-vous de cette décision de Mozilla ?
  Discussion forum
3 commentaires
  • vttman
    Membre émérite
    Je cite ...
    "En août 2016, Chrome écrase toujours autant la concurrence 62,3%.
    Et Firefox ? Il descend dans la zone rouge à 7,69%, au point de pouvoir être menacé dans les prochains mois par le peu mature Microsoft Edge (5,16%)."

    et puis ceci datant un peu
    "Utilisateurs de Firefox si vous surfez depuis ce matin sur un site utilisant la technologie Flash d'Adobe, et ils sont encore nombreux, vous avez peut-être remarqué l'apparition d'une barre grise « Firefox a empêché l'exécution du plugin vulnérable Adobe Flash »."


    Maintenant ma réflexion du Lundi avant café : Si Firefox améliore la sécurité, c'est évidemment louable !
    Mais l'utilisateur lambda, averti ou pas d'ailleurs ... lassé de se faire bloquer à droite à gauche
    sur son navigateur préféré jusque là ... ira chercher rapidement ailleurs même au détriment de sa propre sécurité.
    Enfin c'est ce que je crois !

    Donc pour moi, un message d'avertissement serait suffisant (être précurseur c'est bien) ... ou alors tous les navigateurs bloquent pareil ...
    le 03/10/2016 à 8:30
  • nchal
    Membre expérimenté
    Envoyé par vttman
    Je cite ...
    "En août 2016, Chrome écrase toujours autant la concurrence 62,3%.
    Et Firefox ? Il descend dans la zone rouge à 7,69%, au point de pouvoir être menacé dans les prochains mois par le peu mature Microsoft Edge (5,16%)."

    et puis ceci datant un peu
    "Utilisateurs de Firefox si vous surfez depuis ce matin sur un site utilisant la technologie Flash d'Adobe, et ils sont encore nombreux, vous avez peut-être remarqué l'apparition d'une barre grise « Firefox a empêché l'exécution du plugin vulnérable Adobe Flash »."


    Maintenant ma réflexion du Lundi avant café : Si Firefox améliore la sécurité, c'est évidemment louable !
    Mais l'utilisateur lambda, averti ou pas d'ailleurs ... lassé de se faire bloquer à droite à gauche
    sur son navigateur préféré jusque là ... ira chercher rapidement ailleurs même au détriment de sa propre sécurité.
    Enfin c'est ce que je crois !

    Donc pour moi, un message d'avertissement serait suffisant (être précurseur c'est bien) ... ou alors tous les navigateurs bloquent pareil ...
    Tu sais que Chrome est également assez dur niveau sécurité avec ses users, ça ne l’empêche pas de toujours monter en part de marché. Je pense que ça ne dérange pas les gens d'avoir un énorme message d'erreur rouge " ATTENTION SITE DANGEREUX", ça les rassure d'un côté.
    le 03/10/2016 à 16:53
  • Grogro
    Membre extrêmement actif
    Envoyé par vttman
    Maintenant ma réflexion du Lundi avant café : Si Firefox améliore la sécurité, c'est évidemment louable !
    C'est louable, mais cela arrive si tard au vu du retard de Firefox en matière de sécurité, particulièrement sur Chrome. Firefox n'a ma préférence que pour des raisons d'ergonomie (par définition personnelles et subjectives).
    le 03/10/2016 à 11:32