IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Firefox Discussion :

Firefox Nightly embarque le support du chiffrement de l'extension SNI


Sujet :

Firefox

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 018
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 018
    Points : 208 498
    Points
    208 498
    Par défaut Firefox Nightly embarque le support du chiffrement de l'extension SNI
    Firefox Nightly embarque le support du chiffrement de l'extension SNI,
    qui permet d'empêcher aux hackers de consulter votre historique de navigation

    Firefox Nightly prend désormais en charge le chiffrement de l’extension SNI (TLS Server Name Indication), ce qui permet d’empêcher aux hackers qui pourraient infiltrer votre réseau d’apprendre votre historique de navigation. Depuis hier le 18 octobre 2018, il est possible d’activer le SNI chiffré. Il va alors fonctionner automatiquement avec tout site qui le supporte. Actuellement, cela s’applique à tout site hébergé par Cloudflare, mais Mozilla espère que d’autres fournisseurs vont ajouter bientôt le support ESNI.

    Cacher votre historique de navigation

    Bien qu’une fraction croissante du trafic Web soit chiffrée avec HTTPS, ce chiffrement n’est pas suffisant pour empêcher à des hackers sur le réseau de savoir quels sites vous avez visité. Il est vrai que HTTPS dissimule la page exacte à laquelle vous allez accéder, mais l’identité du site peut être divulguée de plusieurs manières. Cela peut en soi être une information sensible : voulez-vous que la personne au café près de vous sache que vous visitez cancer.org ?

    Les informations d'historique de navigation fuient sur le réseau de quatre manières principales :
    • le message de certificat TLS ;
    • la résolution du nom DNS ;
    • l'adresse IP du serveur ;
    • et l'extension Indication de nom de serveur TLS.

    Heureusement, Mozilla note avoir fait des progrès en supprimant les deux premiers. En effet, le nouveau standard TLS 1.3 chiffre le certificat de serveur par défaut et, depuis plusieurs mois, Mozilla explore l’utilisation de DNS sur HTTPS pour protéger le trafic DNS. Pour le moment, la Fondation semble encouragée par les résultats et elle espère la diffuser à tous les utilisateurs de Firefox au cours des prochains mois. L'adresse IP du serveur reste un problème, mais dans de nombreux cas, plusieurs sites partagent la même adresse IP, ce qui ne laisse plus que SNI.

    Pourquoi avons-nous besoin de SNI ?

    Ironiquement, la raison pour laquelle vous avez besoin d'un champ SNI réside dans le fait que plusieurs serveurs partagent la même adresse IP. Lorsque vous vous connectez au serveur, il doit vous fournir le bon certificat pour prouver que vous vous connectez à un serveur légitime et non à un attaquant. Cependant, s'il y a plus d'un serveur sur la même adresse IP, quel certificat doit-il choisir ? Le champ SNI indique au serveur le nom d'hôte auquel vous essayez de vous connecter, ce qui lui permet de choisir le bon certificat. En d’autres termes, SNI contribue au bon fonctionnement de l’hébergement TLS à grande échelle.

    Nom : ESNI.png
Affichages : 3297
Taille : 103,2 Ko

    Mais Mozilla nous apprend avoir été au courant que SNI pose un problème de confidentialité depuis le début de TLS 1.3. L'idée de base est simple : chiffrer le champ SNI (d'où « SNI chiffré » ou ESNI). Malheureusement, chaque modèle que Mozilla a essayé présentait des inconvénients. Les détails techniques sont un peu compliqués, mais l’histoire de base ne l’est pas : chaque conception que Mozilla avait pour ESNI impliquait une sorte de compromis en termes de performances. Alors, la Fondation s’est dit que peut-être seuls des sites « sensibles » (c’est-à-dire que vous souhaitiez peut-être cacher de votre historique de navigation) serait prêt à activer ESNI. Comme vous pouvez l’imaginer, cela va à l’encontre du problème, car si seuls les sites sensibles utilisent ESNI, le fait d’utiliser ESNI est en soi un signal indiquant que votre trafic doit être examiné de plus près. Ainsi, malgré son enthousiasme, Mozilla a finalement dû se résoudre à publier TLS 1.3 sans ESNI.

    Cependant, au début de cette année, Mozilla a réalisé qu’il existait une solution 80-20 assez bonne : les grands réseaux de distribution de contenu (CDN) hébergent de nombreux sites, tous sur les mêmes machines. S'ils souhaitent convertir tous leurs clients au même moment en ESNI, alors ESNI ne sera plus un signal utile car, de toutes les façons, l'attaquant peut quand même voir vers quel CDN vous allez. Cette prise de conscience a ouvert la voie et a permis de concevoir comment faire fonctionner ESNI dans TLS 1.3. Bien sûr, cela ne fonctionne que si vous pouvez configurer en masse tous les sites sur un ensemble donné de serveurs, mais c’est une configuration assez commune.

    Comment puis-je l'obtenir ?

    C'est une toute nouvelle technologie et Firefox est le premier navigateur à l'avoir. Pour le moment, Mozilla indique ne pas être prêt à l'activer pour tous les utilisateurs de Firefox. Cependant, les utilisateurs de Nightly peuvent maintenant essayer cette fonctionnalité d'amélioration en procédant comme suit:

    Tout d'abord, vous devez vous assurer que DNS sur HTTPS est activé. Une fois cela fait, vous devez également définir la préférence « network.security.esni.enabled » dans about: config sur «true». Cela devrait automatiquement activer ESNI pour tout site qui le supporte.

    La Fondation rappelle qu’à l’heure actuelle, il n’y a que Cloudflare qui le supporte, ce qui a permis à ESNI d’être accessible à tous ses clients, bien que la Fondation espère que d’autres fournisseurs les suivront. Vous pouvez vous rendre sur Cloudfare pour vérifier par vous-même que cela fonctionne.

    Source : Mozilla

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Après Edge, c'est au tour de Firefox d'annoncer le support du format d'image WebP de Google, qui promet un Web plus rapide
    Firefox 64 va marquer le début du support du centre de notifications et d'actions de Windows 10, et va emboîter le pas à Google Chrome
    Mozilla annonce la disponibilité de Firefox Reality, son navigateur conçu pour la réalité virtuelle, sur Oculus et Daydream

  2. #2
    Membre actif
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    Octobre 2013
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant communication & réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Octobre 2013
    Messages : 86
    Points : 206
    Points
    206
    Par défaut
    Mieux vaut perdre en performance et gagner en sécurité

  3. #3
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 262
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 262
    Points : 3 416
    Points
    3 416
    Par défaut
    Finalement, ce qui pose des difficultés à Mozilla, c'est le problème de la transition vers la démocratisation de ESNI (Encrypted SNI), et non son utilisation ou mise en oeuvre... nous voilà grandement rassuré !
    Une simple affaire de temps, et de nouveau scandales sur la surveillance de masse.

Discussions similaires

  1. Réponses: 4
    Dernier message: 01/12/2018, 14h31
  2. Réponses: 2
    Dernier message: 24/07/2018, 10h06
  3. Réponses: 6
    Dernier message: 14/06/2017, 17h27
  4. Réponses: 15
    Dernier message: 26/01/2017, 21h03
  5. WebIDE sur Firefox "nightly"
    Par zoom61 dans le forum Logiciels Libres & Open Source
    Réponses: 0
    Dernier message: 27/06/2014, 08h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo