Opération rétropédalage. Après avoir diffusé la version 37 de Firefox le 31 mars dernier, la fondation Mozilla s’est vue contrainte de publier in extremis une version 37.0.1. Disponible depuis quelques jours, elle supprime la nouvelle fonctionnalité de « chiffrement opportuniste » (Opportunistic Encryption). Celle-ci permet de créer un canal de chiffrement HTTPS avec certains sites qui, pour des raisons diverses et variées, n’ont pas mis en place de service TLS/SSL.
Cela est possible techniquement grâce à HTTP/2, qui permet de définir des sources alternatives pour un service web. L’IETF appelle cela « HTTP Alternative Services » (HTTP AltSvc). Exemple : en voulant se connecter au site « http://www.example.com » sur le port 80, l’utilisateur disposant d’un navigateur supportant ce nouveau standard pourra être dévié vers un clone du même service web en version HTTP/2 sur le port 443, mais avec du chiffrement.
Le problème, c’est que l’implémentation de HTTP AltSvc dans Firefox présente une faille critique qui permet de contourner la vérification des certificats SSL, et ouvre donc la porte aux attaques de type « Man in the middle ». Mozilla a donc préféré enlever cette fonctionnalité. Elle reviendra peut-être plus tard.
Télécharger:
Télécharger Firefox 37 pour Windows.
Télécharger Firefox 37 pour OS X.
Télécharger Firefox 37 pour Linux.
Lire aussi :
Firefox 37 est disponible et améliore la lecture des vidéos sur YouTube, le 31/03/2015
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
