Firefox Nightly embarque le support du chiffrement de l'extension SNI,
qui permet d'empêcher aux hackers de consulter votre historique de navigation
Firefox Nightly prend désormais en charge le chiffrement de l’extension SNI (TLS Server Name Indication), ce qui permet d’empêcher aux hackers qui pourraient infiltrer votre réseau d’apprendre votre historique de navigation. Depuis hier le 18 octobre 2018, il est possible d’activer le SNI chiffré. Il va alors fonctionner automatiquement avec tout site qui le supporte. Actuellement, cela s’applique à tout site hébergé par Cloudflare, mais Mozilla espère que d’autres fournisseurs vont ajouter bientôt le support ESNI.
Cacher votre historique de navigation
Bien qu’une fraction croissante du trafic Web soit chiffrée avec HTTPS, ce chiffrement n’est pas suffisant pour empêcher à des hackers sur le réseau de savoir quels sites vous avez visité. Il est vrai que HTTPS dissimule la page exacte à laquelle vous allez accéder, mais l’identité du site peut être divulguée de plusieurs manières. Cela peut en soi être une information sensible : voulez-vous que la personne au café près de vous sache que vous visitez cancer.org ?
Les informations d'historique de navigation fuient sur le réseau de quatre manières principales :
- le message de certificat TLS ;
- la résolution du nom DNS ;
- l'adresse IP du serveur ;
- et l'extension Indication de nom de serveur TLS.
Heureusement, Mozilla note avoir fait des progrès en supprimant les deux premiers. En effet, le nouveau standard TLS 1.3 chiffre le certificat de serveur par défaut et, depuis plusieurs mois, Mozilla explore l’utilisation de DNS sur HTTPS pour protéger le trafic DNS. Pour le moment, la Fondation semble encouragée par les résultats et elle espère la diffuser à tous les utilisateurs de Firefox au cours des prochains mois. L'adresse IP du serveur reste un problème, mais dans de nombreux cas, plusieurs sites partagent la même adresse IP, ce qui ne laisse plus que SNI.
Pourquoi avons-nous besoin de SNI ?
Ironiquement, la raison pour laquelle vous avez besoin d'un champ SNI réside dans le fait que plusieurs serveurs partagent la même adresse IP. Lorsque vous vous connectez au serveur, il doit vous fournir le bon certificat pour prouver que vous vous connectez à un serveur légitime et non à un attaquant. Cependant, s'il y a plus d'un serveur sur la même adresse IP, quel certificat doit-il choisir ? Le champ SNI indique au serveur le nom d'hôte auquel vous essayez de vous connecter, ce qui lui permet de choisir le bon certificat. En d’autres termes, SNI contribue au bon fonctionnement de l’hébergement TLS à grande échelle.
Mais Mozilla nous apprend avoir été au courant que SNI pose un problème de confidentialité depuis le début de TLS 1.3. L'idée de base est simple : chiffrer le champ SNI (d'où « SNI chiffré » ou ESNI). Malheureusement, chaque modèle que Mozilla a essayé présentait des inconvénients. Les détails techniques sont un peu compliqués, mais l’histoire de base ne l’est pas : chaque conception que Mozilla avait pour ESNI impliquait une sorte de compromis en termes de performances. Alors, la Fondation s’est dit que peut-être seuls des sites « sensibles » (c’est-à-dire que vous souhaitiez peut-être cacher de votre historique de navigation) serait prêt à activer ESNI. Comme vous pouvez l’imaginer, cela va à l’encontre du problème, car si seuls les sites sensibles utilisent ESNI, le fait d’utiliser ESNI est en soi un signal indiquant que votre trafic doit être examiné de plus près. Ainsi, malgré son enthousiasme, Mozilla a finalement dû se résoudre à publier TLS 1.3 sans ESNI.
Cependant, au début de cette année, Mozilla a réalisé qu’il existait une solution 80-20 assez bonne : les grands réseaux de distribution de contenu (CDN) hébergent de nombreux sites, tous sur les mêmes machines. S'ils souhaitent convertir tous leurs clients au même moment en ESNI, alors ESNI ne sera plus un signal utile car, de toutes les façons, l'attaquant peut quand même voir vers quel CDN vous allez. Cette prise de conscience a ouvert la voie et a permis de concevoir comment faire fonctionner ESNI dans TLS 1.3. Bien sûr, cela ne fonctionne que si vous pouvez configurer en masse tous les sites sur un ensemble donné de serveurs, mais c’est une configuration assez commune.
Comment puis-je l'obtenir ?
C'est une toute nouvelle technologie et Firefox est le premier navigateur à l'avoir. Pour le moment, Mozilla indique ne pas être prêt à l'activer pour tous les utilisateurs de Firefox. Cependant, les utilisateurs de Nightly peuvent maintenant essayer cette fonctionnalité d'amélioration en procédant comme suit:
Tout d'abord, vous devez vous assurer que DNS sur HTTPS est activé. Une fois cela fait, vous devez également définir la préférence « network.security.esni.enabled » dans about: config sur «true». Cela devrait automatiquement activer ESNI pour tout site qui le supporte.
La Fondation rappelle qu’à l’heure actuelle, il n’y a que Cloudflare qui le supporte, ce qui a permis à ESNI d’être accessible à tous ses clients, bien que la Fondation espère que d’autres fournisseurs les suivront. Vous pouvez vous rendre sur Cloudfare pour vérifier par vous-même que cela fonctionne.
Source : Mozilla
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Après Edge, c'est au tour de Firefox d'annoncer le support du format d'image WebP de Google, qui promet un Web plus rapide
Firefox 64 va marquer le début du support du centre de notifications et d'actions de Windows 10, et va emboîter le pas à Google Chrome
Mozilla annonce la disponibilité de Firefox Reality, son navigateur conçu pour la réalité virtuelle, sur Oculus et Daydream
Partager