Menu
Accueil
Forums
Liste des forums
En ce moment
Nouveaux messages
Nouveaux messages de profil
Connexion
S'inscrire
Quoi de neuf
Liste des forums
Menu
Connexion
S'inscrire
Forums
Loisirs et Entraides
Informatique - Mobile - Jeux
Firefox : mozilla corrigera demain une faille critique dans la gestion des certificats
JavaScript est désactivé. Pour une meilleure expérience, veuillez activer JavaScript dans votre navigateur avant de continuer.
Vous utilisez un navigateur obsolète. Il se peut que ce site ou d'autres sites Web ne s'affichent pas correctement.
Vous devez le mettre à jour ou utiliser un
navigateur alternatif
.
Répondre à la discussion
Message
[QUOTE="Alabienkouz1, post: 14742748, member: 386363"] Salam Arlaykoum, Mozilla travaille actuellement à la résolution d’une faille de sécurité importante dans Firefox. Difficile à exploiter, elle pourrait permettre à des pirates en ayant les moyens de déclencher une attaque de type « homme du milieu » à l’aide d’un faux certificat. Le correctif devrait être disponible demain. La faille a été [URL='https://hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95#.cywwwut7d']repérée la semaine dernière[/URL] par un chercheur en sécurité, « movrcx ». Son billet concernait avant tout Tor Browser, dont les développeurs ont [URL='https://blog.torproject.org/blog/tor-browser-605-released']publié une nouvelle version vendredi[/URL]. Estampillée 6.0.5, elle colmate la brèche dont les détails ont été fournis dans le même temps à Mozilla. Dangereuse, la vulnérabilité peut être exploitée sur n’importe quelle plateforme, mais pas de manière simple. [B]Une brèche dans un mécanisme de protection[/B] Même si les détails précis ne sont encore pas tout à fait connus, on dispose des grandes lignes exposées par plusieurs chercheurs et dans le billet de Tor. La brèche permet de contourner le mécanisme dit de « certificate pinning », qui permet normalement aux navigateurs de se prémunir contre les usurpations d’identité, dans le cas où une autorité de certificat aurait été piratée. Quand une première connexion sécurisée s’établit avec un site, celui-ci présente une liste des certificats de confiance. Si lors d’une connexion ultérieure, un certificat est inconnu, elle ne pourra pas s'établir. Selon le chercheur en sécurité Ryan Duff, la protection mise en place par Firefox [URL='http://seclists.org/dailydave/2016/q3/51']ne fonctionne pas[/URL] dans le cas d’un certificat créé à partir d’une autorité piratée. En temps normal, le navigateur ne devrait pouvoir accepter qu’un certificat correspondant à un domaine ou à un sous-domaine spécifique, en rejetant tous les autres. Malheureusement, un pirate peut exploiter une certaine forme de clé statique qui n’est pas basée sur le protocole [URL='https://fr.wikipedia.org/wiki/HTTP_Public_Key_Pinning']HTTP Public Key Pinning[/URL] (HPKP), Firefox ne géant pas correctement la date d’expiration des certificats. Source: Next Inpact [/QUOTE]
Insérer les messages sélectionnés…
Vérification
Répondre
Forums
Loisirs et Entraides
Informatique - Mobile - Jeux
Firefox : mozilla corrigera demain une faille critique dans la gestion des certificats
Haut