Le blog

Mozilla veut bannir deux autorités ayant antidaté leurs certificats SHA-1

image dediée

Mozilla souhaite actuellement bannir l’autorité de certification WoSign de ses listes approuvées pour avoir cumulé les comportements suspects. L’entreprise est accusée d’avoir antidaté de vieux certificats SHA-1, rejetés depuis le 1er janvier dernier.

Une autorité de certification est un élément important de la chaine de sécurité. Elle fournit des certificats, autrement dit des signatures électroniques servant de preuve qu’une entité est bien ce qu’elle prétend être. Lorsque vous visitez un site web et que le navigateur affiche un symbole vert dans la barre d’adresse, il vous indique en fait que le site est authentique et qu’il ne s’agit donc pas d’une tromperie.

Des certificats antidatés pour éviter le rejet du SHA-1

Mais si l’autorité de certification n’est pas digne de confiance (via une liste précise de critères), tout peut être remis en question. C’est ainsi que Mozilla s’apprête à bannir l’autorité chinoise WoSign pour avoir adopté des comportements problématiques. Le plus important est la diffusion de vieux certificats SHA-1, alors que ces derniers, jugés peu fiables, ont été remis au rebut par l’ensemble des éditeurs de navigateurs, avant une date limite fixée au 1er janvier 2016. La solution adoptée par WoSign selon Mozilla ? Les certificats sont antidatés à décembre 2015.

Le rejet systématique a cependant des exceptions. Les éditeurs qui passent à travers un processus complexe et strict peuvent quand même faire valider leurs anciens certificats SHA-1, en montrant patte blanche. Ce fut par exemple le cas de Symantec pour neuf certificats. WoSign, selon Mozilla, a refusé cependant de passer par ce sas de validation. Mais si l’autorité a vraiment antidaté ses précieux sésames, c’est évidemment qu’elle comptait faire comme si tout était normal. Dès lors, pourquoi passer par un processus d’exception ?

Un rachat nié par WoSign

Autre point souligné par Mozilla : WoSign aurait racheté en secret une autorité de certification israélienne, StartCom. Or, la société chinoise nie cette opération, alors que Mozilla fournit un certain nombre d’éléments, indiquant que le rachat a été finalisé le 1er novembre 2015, soit deux mois avant l’entrée en vigueur du blocage des certificats SHA-1. En outre, Mozilla indique que StartCom a commencé à diffuser des certificats via l’infrastructure de WoSign après son rachat, avec la même « astuce » en 2016 : ils seraient antidatés.

Un lâcher de vieux certificats en juin dernier

L’enquête de Mozilla est remontée jusqu’à Tyro, une plateforme de paiement qui a essentiellement travaillé avec l’autorité GeoTrust pendant plusieurs années. En juin dernier, elle s’est mise tout à coup à utiliser un certificat SHA-1 provenant de StartCom, de qui Tyro n’avait jamais rien acheté. Ce dernier apparaissait comme ayant été signé le 20 décembre 2015.

En creusant un peu plus, Mozilla a découvert qu’un certain nombre d’entreprises avaient déployé des certificats StartCom au début de l’été. Pour le père de Firefox, il s’agissait d’un signal clair qu’ils étaient antidatés, car il n’existait pas de raison valable pour expliquer un tel écart entre leur signature en décembre et leur utilisation en juin. La manière dont ils étaient soudainement utilisés laissait penser qu’une réserve avait tout simplement été mise de côté en attendant d’être exploitée plus tard.

Un bannissement d’un an, voire définitif

Mozilla a fini par lister un certain nombre d’incidents de ce type. Un bannissement d’un an sur tout ce qui proviendrait de WoSign et StartCom a donc toutes les chances d’être décrété, en réponse à une volonté de tromper sur la sécurité de ses certificats. Ce blocage ne concerne que les nouveaux certificats qui seront émis, et non ceux en cours d’utilisation. Si Firefox rencontre un nouveau certificat WoSign ou StartCom, il considérera donc que la connexion n’est pas sécurisée.

De plus, une série de tests sera imposée aux deux entreprises. Si elles ne les passent pas – que ce soit par refus ou par défaut technique quelconque – Mozilla envisage sérieusement un bannissement permanent. L’éditeur rappelle dans un document qu’une autorité de certification cherchant à tromper ses clients, les navigateurs et les utilisateurs risque de briser l’intégralité de la chaine de confiance.

Les autres éditeurs ont été contactés

Bien sûr, on peut se demander si une décision seule par Mozilla peut avoir un impact réellement significatif sur la situation. Mais l’éditeur a déjà signalé le problème aux autres entreprises produisant des navigateurs. C’est d’ailleurs aussi l’objet du document de synthèse publié : indiquer aux différents acteurs potentiellement impliqués pourquoi il faut bannir pendant au moins un an WoSign et StartCom.

WoSign, de son côté, indique que les certificats « fautifs » seront révoqués au plus tard le 31 décembre de cette année. Selon l’entreprise, le délai tiendrait au temps qu’il a fallu pour répercuter la décision de ne plus émettre de certificat SHA-1. Mozilla s’étonne pour sa part d’un tel écart, jugeant le changement relativement simple à mettre en place.

nextinpact

Depuis iOS 10, les sauvegardes chiffrées sur iTunes sont moins bien protégées

image dediée
 

Apple a reconnu l’existant d’un problème de sécurité avec les sauvegardes iTunes faites depuis des appareils iOS 10. La société travaille sur une solution et recommande en attendant que les utilisateurs verrouillent soigneusement les ordinateurs.

Depuis le premier iPhone, l’utilisateur peut réaliser des sauvegardes via iTunes. L’intégralité du contenu est ainsi préservée dans une archive dont l’accès peut être verrouillé et chiffré. Ces sauvegardes locales ne sont plus depuis longtemps la seule manière de faire, mais permettent une restauration assez rapide en cas de problème, l’archive restaurant les applications, leurs données, les SMS, historiques et autres.

Un chiffrement qui laisse passer la force brute

Depuis iOS 10 cependant, une étape n’est plus correctement faite dans la protection mise en place quand l’utilisateur choisit de la chiffrer. Le souci a été détecté par la société Elcomsoft, qui a averti Apple dans la foulée. Elle indique qu’iTunes utilise une nouvelle méthode de sauvegarde pour le nouveau système mobile, mais qui ne dispose pas des mêmes sécurités que l’ancienne. D’ailleurs, celle-ci est toujours en place pour les versions antérieures d’iOS.

Plus précisément, Elcomsoft indique avoir trouvé une « méthode alternative de vérifications des mots de passe » dans les sauvegardes iOS 10. En examinant ce mécanisme de plus près, la société s’est aperçu qu’il manquait des barrières atténuant normalement l’efficacité de la force brute pour récupérer le mot de passe.

Résultat, l’outil utilisé pour trouver le sésame a fonctionné à la cadence de 6 millions de tentatives par seconde, soit une rapidité de traitement 2 500 fois supérieure à ce qui était possible sur une sauvegarde iOS 9. Dans 80 à 90 % des cas, Elcomsoft indique que son outil a trouvé le bon mot de passe. Les archives contenant également le contenu du Trousseau et donc d’autres identifiants, le souci de sécurité est sérieux.

Apple reconnaît le problème

Dans une réponse donnée à Forbes, Apple a reconnu qu’il existait bien un problème : « Nous sommes informés d’un problème touchant le niveau de chiffrement des sauvegardes des appareils iOS 10 […]. Nous corrigerons ce souci dans une prochaine mise à jour de sécurité ». Le conseil d’Apple ? « Nous recommandons aux utilisateurs de s’assurer que leurs Mac et PC sont protégés par des mots de passe forts et ne sont accessibles qu’à des personnes autorisées ».

La firme précise cependant que les sauvegardes iCloud ne sont pas concernées par ce problème. Un point important car iTunes n’est plus depuis longtemps le seul moyen de mettre ses informations de côté. En fait, bon nombre d’utilisateurs d’appareils iOS n’installent même plus iTunes sur leur PC, iCloud sauvegardant automatiquement les données. Si tant est que ces dernières ne dépassent pas les petits 5 Go octroyés par Apple, auquel cas le premier abonnement est de 99 centimes par mois pour 50 Go.

Protéger l’accès à la machine

En attendant, on ne sait pas vraiment où se situe précisément le problème, dans iOS 10 ou dans iTunes. Dans le doute, si vous n’avez pas moyen de contrôler l’accès à l’ordinateur, mieux vaut se passer de sauvegarde. Si la session du Mac ou du PC est protégée par un mot de passe fort et que l’unité de stockage elle-même est chiffrée (FileVault, BitLocker et autre), le risque est par contre faible.

nextinpact

Windows Server 2016 sera disponible en version finale en octobre

image dediée

Windows Server 2016, en travaux depuis plusieurs années, sera disponible le mois prochain. La date exacte n’est pas donnée, mais l’attente de cette version majeure est terminée. Parallèlement, System Center 2016 sera lui aussi lancé dans la foulée, pour la gestion des centres de données.

Windows Server 2016 est une version particulièrement attendue du système réservé aux serveurs et à leur administration. Il s‘agit d’abord de la mouture adaptée à Windows 10, les deux étant conçus pour fonctionner de concert. D’autre part, elle mettra en place certaines nouveautés importantes pour la sécurité, le support de Docker, les conteneurs Windows, les microservices et un nouveau renforcement du cloud hybride.

À la conférence Ignite, qui a commencé depuis quelques heures et durera toute la semaine, Microsoft a annoncé que la version finale du système sortirait le mois prochain. La date exacte reste à communiquer, mais la disponibilité est proche, octobre arrivant dans quelques jours. En même temps ou presque sortira System Center 2016, conçu de son côté pour la gestion des datacenters.

Cloud hybride, Docker et sécurité

Le nouveau Windows Server est assez ambitieux et s’oriente, comme indiqué, avant tout vers le cloud hybride, c’est-à-dire les structures comprenant à la fois un stockage local des données et l’envoi d’autres informations à distance. Ce cas de figure se retrouve en particulier dans les entreprises qui font traiter par des services hébergés dans le cloud des données présentes par exemple sur intranet.

Server 2016 intégrera comme prévu le Commercially Supported Docker Engine sans surcoût, une conséquence d’un partenariat avec Docker. Là encore, il s’agit de renforcer les prérogatives du produit dans un cadre de cloud hybride, tout comme d’ailleurs les Windows Containers, une fonctionnalité promise depuis longtemps par Microsoft. Seront présents également PowerShell 5.0, de multiples améliorations pour Active Directory (Certificate, Domain et Federation Services), Credential Guard (protection des informations sensibles) ou encore Device Guard (intégrité du noyau).

nextinpact

Cisco corrige une faille dans ses produits IOS, liée aux outils de la NSA

image dediée

La fuite des outils de la NSA avait entrainé un certain nombre d’équipementiers réseau à publier des correctifs pour des failles révélées à cette occasion. C’est notamment le cas de Cisco pour ses pare-feu ASA. Le constructeur revient cependant à la charge, cette fois pour son système d’exploitation IOS.

Début septembre, un groupe de pirates faisait parler de lui : les Shadow Brokers. On sait désormais qu’ils s’en sont pris à un serveur qui avait servi pour des opérations de la NSA, mais sur lequel on trouvait encore des outils et renseignements sur des failles de sécurité. Des outils créés par Equation Group, qui possède des liens forts avec l’agence américaine du renseignement.

Une découverte aux multiples conséquences

Les conséquences les plus immédiates de ces révélations étaient contenues dans une liste de failles de sécurité, chacune accompagnée d’une méthode d’exploitation spécifique. Il avait ainsi été prouvé une fois de plus que la NSA disposait d’informations sur des vulnérabilités, tenues secrètes en vue d’être utilisées plus tard. Parmi les sociétés concernées, on trouvait notamment Cisco, Fortinet et Juniper.

Rapidement, ces entreprises avaient publié des correctifs pour les produits impactés toujours en cours de support. Ce n’est pourtant pas fini. Dans un autre bulletin de sécurité publié en fin de semaine dernière, Cisco prévient qu’une autre faille doit être colmatée, cette fois dans le système d’exploitation IOS qui équipe une partie de ses produits.

Défaut de vérification dans les paquets IKE

La brèche en question se trouve dans les mécanismes de vérification des paquets IKE (Internet Key Exchange). Exploitée, elle permettrait à un pirate de récupérer des informations potentiellement sensibles dans les routeurs concernés. Point intéressant, Cisco indique avoir débusqué cette faille en se servant d’informations obtenues en analysant les autres. Il y a donc un lien, et il est possible que cette nouvelle vulnérabilité ait déjà été connue par la NSA, Equation Group ou d’autres pirates.

Dans tous les cas, les entreprises utilisant des produits IOS sont invitées à mettre à jour leurs équipements le plus rapidement possible. Et ce d’autant plus que de nombreuses versions sont touchées : 4.3.X, 5.0.X, 5.1.X et 5.2.X. Cependant, si le matériel dispose déjà d’une version 5.3.X ou supérieure, il n’y rien à faire.

nextinpact

Outils volés de la NSA : une erreur humaine aurait permis la fuite

image dediée

Le récent vol des outils de piratage de la NSA serait dû à une erreur humaine. L’agence était a priori au courant quand ils ont été exposés au public, mais n’aurait pas cru bon d’avertir les entreprises dont les failles étaient révélées.

Une erreur humaine. C’est ce que qu’auraient indiqué des responsables de la NSA au FBI, chargé de l’enquête. Reuters, qui a publié l’information, cite quatre personnes proches de l’investigation. Un employé de la NSA aurait en fait « oublié » ces précieux outils sur un serveur distant il y a trois ans, découvert plus tard par les pirates russes se faisant appeler les Shadow Brokers.

Toujours selon ces sources, celui-ci aurait très rapidement avoué son erreur quand les actions des Shadow Brokers ont commencé à être connues. Cependant, le déchainement de la presse n’a semble-t-il pas provoqué de réaction de prévention à la NSA, qui n’a pas cherché à avertir les différentes entreprises concernées par des produits où des failles avaient été révélées.

Liens troubles

Il faut rappeler en effet que dans l’archive récupérée par les pirates russes se trouvaient plusieurs types de données. Il était question de documentation, de failles de sécurité ainsi que d’outils (en tout 300) pour exploiter ces dernières. Parmi les vulnérabilités, plusieurs ont été rapidement confirmées par des constructeurs, notamment Cisco, Fortinet et Juniper. Tous trois ont communiqué sur ces brèches pour indiquer qu’elles étaient réelles, et des correctifs ont été diffusés dans les jours ou semaines qui ont suivi.

Ces outils étaient liés de près à Equation Group, des pirates restés indétectés pendant au moins 14 années. Les éditeurs Kaspersky et Symantec en particulier s’étaient penchés sur ses activités, le premier mettant en évidence une paternité avérée avec quelques-uns des malwares les plus avancés repérés, dont Duqu, Stuxnet et Flame. Or, le même éditeur avait affirmé que les deux premiers résultaient d’une coopération entre les États-Unis et Israël. Ce qui a rapidement fait dire à la presse que les outils dérobés appartenaient en fait à la NSA.

Simple oubli ou action délibérée ?

Si l’on en croit les sources de Reuters, l’employé qui avait laissé les outils sur le serveur a quitté la NSA depuis un moment, pour d’autres raisons. Il pourrait s’agir d’un oubli « malencontreux », mais l’accès à un serveur distant permet de savoir maintenant que la NSA elle-même n’a pas été attaquée, ce qui était l’une des pistes envisagées (tout comme l’action d’un nouveau lanceur d’alertes). D’après Reuters, la piste d’un acte délibéré n’a pour autant pas encore été écartée.

La piste privilégiée serait en fait une attaque soutenue par la Russie. Selon l’une des sources de nos confrères, elle est préférée à la thèse du « simple » groupe criminel car la récupération des outils a été médiatisée au lieu de donner lieu directement à une vente secrète. L’objectif n’aurait donc jamais été véritablement d’obtenir une forte somme, mais de créer de multiples ondes de choc. En outre, si les outils étaient stockés depuis trois ans sur un serveur distant, ils ont très bien pu être exploités pendant tout ce temps.

La gestion des failles de sécurité au coeur du débat

L’action et les réactions participent cependant à un débat plus général. Il renvoie directement à la place qu’occupent les failles de sécurité dans les questions de sécurité nationale, dans les enquêtes ou dans l’obtention des renseignements. La NSA ne fait pas mystère que chaque faille trouvée fait l’objectif d’un examen. Dans 91 % des cas, ses détails en sont communiqués à l’éditeur concerné. Pour le reste, elle est libre de ne pas la révéler pour la réutiliser plus tard.

Or, la problématique centrale n’a évidemment pas bougé d’un iota. Toute faille non révélée est un danger potentiel pour l’ensemble des utilisateurs. Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes. Le principe est le même qu’une porte dérobée quand son existence a été révélée. Le silence de la NSA peut avoir des conséquences lourdes lorsque les vulnérabilités touchent des produits aussi centraux que les routeurs. Il avait d’ailleurs été prouvé que grâce à deux failles, Equation Group pouvait facilement extraire les clés VPN des anciens pare-feu PIX de Cisco.

nextinpact

Plus d’un an de retard pour le rapport gouvernemental sur l’obsolescence programmée

image dediée

Le gouvernement, qui devait présenter début 2015 un rapport sur l’obsolescence programmée, n’a toujours pas rendu sa copie au Parlement. Interpellée, la ministre de l’Environnement explique que le fameux document est toujours « en cours de finalisation ».

C’est ce qui s’appelle un très gros retard. En vertu de l’article 8 de la loi sur la consommation de 2014, le gouvernement était censé rédiger, dans un délai d’un an, « un rapport sur l’obsolescence programmée, sa définition juridique et ses enjeux économiques ». En théorie, il aurait ainsi dû être remis aux assemblées d’ici au 17 mars 2015. Sauf que personne n’en a encore vu la couleur…

« Aucun rapport n’a été remis », se plaignait notamment le sénateur écologiste Joël Labbe, en octobre 2015. À l’appui d’une question écrite, l’élu accusait le gouvernement de contrevenir aux dispositions législatives – et ce d’autant que « la lutte contre l’obsolescence programmée est un des piliers de la transition écologique voulue par le président de la République et le Premier ministre ».

Un « important travail » ayant évolué avec le vote de la loi de transition énergétique

Après quasiment un an d’attente, le ministère de l’Environnement s’est décidé à répondre au parlementaire. Hier, l’exécutif a expliqué que le fameux rapport avait « fait l’objet d’un important travail associant les parties prenantes et les pouvoirs publics ». Il aurait surtout nécessité une adaptation suite à l’adoption, en août 2015, de la loi sur la transition énergétique (dans lequel a notamment été introduit un nouveau délit dit d’obsolescence programmée).

Ségolène Royal l’assure : le rapport « est en cours de finalisation ». La ministre n’a toutefois évoqué aucune date de publication.

À ce jour, aucune action en justice n’a été lancée sur le fondement du nouveau délit d’obsolescence programmée (voir notre bilan suite au premier anniversaire de ces dispositions). Certains y voient un signe de leur difficile mise en œuvre sur le plan juridique, tandis que différentes associations parlent d’un effet dissuasif vis-à-vis des industriels. Le débat demeure néanmoins extrêmement vif.

nextinpact

Yahoo! : 500 millions de comptes piratés, probablement par une entité liée à un Etat

 REUTERS/Mike Blake/File Photo

Le groupe internet Yahoo! a annoncé que les comptes de 500 millions de ses utilisateurs avaient été piratés fin 2014 par une entité probablement liée à un Etat.

Les hackers ont volé des informations personnelles comme des dates de naissance, des noms, des adresses électroniques, des numéros de téléphone ou des mots de passe, indique le groupe dans un communiqué.

Les données bancaires des utilisateurs n’ont cependant pas été affectées, assure Yahoo!, qui dit travailler en étroite collaboration avec les autorités américaines compétentes sur ce piratage.

“L’enquête n’a trouvé aucun élément qui montre que l’entité en question est actuellement présente dans le système informatique de Yahoo!”, poursuit le groupe, qui affirme avoir contacté les utilisateurs concernés.

Le portail américain ne donne pas le nom de l’entité qu’il soupçonne.

S’il affirme avoir pris les mesures nécessaires pour sécuriser les comptes piratés, Yahoo! recommande aux utilisateurs n’ayant pas changé leurs mots de passe depuis 2014 de le faire dès que possible ainsi que de procéder à une modification des questions et réponses de sécurité.

Les utilisateurs sont appelés également à examiner de près leurs comptes pour s’assurer qu’il n’y a pas eu d’activité “suspecte”.

Enfin, Yahoo! préconise de ne pas cliquer sur des liens ni de télécharger des pièces jointes venant d’adresses électroniques “suspectes” et d’être vigilants sur toute requête portant sur une demande d’informations personnelles.

Yahoo! rappelle par ailleurs que les intrusions dans les systèmes informatiques des groupes technologiques par des entités sponsorisées par des Etats se sont multipliées récemment.

rt

GNOME 3.22 peaufine encore ses logiciels et intègre Flatpack

image dediée
 

L’environnement de bureau GNOME est maintenant disponible en version 3.22. L’une des principales nouveautés est Flatpack, qui ambitionne de simplifier la distribution des applications Linux. Pour le reste, on continue sur l’amélioration progressive des autres composants et un peaufinage de l’interface.

Environ six mois après GNOME 3.20 (les versions impaires servent aux tests des nouveautés), la version 3.22 est disponible pour les distributions Linux qui l’utilisent. Cet environnement de bureau est, avec KDE, le plus utilisé et suit, depuis sa version initiale 3.0, un cycle d’amélioration continu renforçant surtout l’existant.

Un nouveau framework applicatif

GNOME 3.22 propose cependant une nouveauté importante : Flatpack. Il s’agit d’un framework applicatif qui doit permettre le développement de logiciels pouvant fonctionner indifféremment sur n’importe quelle distribution. Ces applications peuvent être trouvées dans Logiciels et leur installation se veut plus sécurisée. En outre, elles ont la garantie de pouvoir être mise à jour sans réclamer de redémarrage de l’ordinateur.

L’application Logiciels, qui sert de dépôt centralisé pour trouver quoi installer, est également améliorée au passage. La page d’accueil révisée affiche ainsi une sélection plus grande, ainsi que des catégories plus évidentes à trouver et une notation par étoiles plus visible. Des badges de couleur peuvent par ailleurs indiquer plus franchement si une application est libre.

gnome

Un outil puissant pour le renommage multiple

Fichiers continue lui aussi de s’améliorer et s’attaque cette fois au renommage multiple de fichiers. Un outil spécifique permet donc d’appliquer un modèle à une liste de fichiers, ou alors d’en rechercher certaines parties pour n’intervenir qu’à petites touches. La création du modèle peut par ailleurs puiser dans les métadonnées pour inclure automatiquement des informations comme le numéro de pistes, la date de création, le titre d’un album, etc. La fonction s’utilise via Renommer dans le menu ou la touche F2 depuis une sélection de plusieurs fichiers.

Photos aussi s’enrichit, mais dans une moindre mesure que dans GNOME 3.20, qui avait vu l’arrivée de nombreux outils pour effectuer des retouches basiques. L’application permet maintenant de partager les clichés via différentes méthodes, même si elles ne sont pas nombreuses pour l’instant : Gmail ou en tant que pièce jointe classique dans un mail. Les développeurs indiquent cependant que d’autres destinations seront ajoutées dans les prochains mois, notamment vers les réseaux sociaux.

gnome

Wayland : le travail continue

Parmi les autres améliorations, il faut souligner les nouveaux progrès réalisés sur le support du serveur d’affichage Wayland, dont tout le monde attend qu’il prenne le relais du vieux X.org. Son support avait fait un bond dans GNOME 3.20, la version 3.22 complète donc le processus : prise en charge des tablettes Wacom, support de l’inclinaison de l’écran, affichage du clavier virtuel, bugs résolus et ainsi de suite.

Comme toujours avec GNOME, il faudra attendre que les dépôts correspondants de la distribution Linux utilisée soient mis à jour. Rappelons que pour certaines, cette migration ne s’opère que lors des versions majeures. La liste complète des nouveautés de GNOME 3.22 peut de son côté être consultée depuis le site officiel.

nextinpact

Firefox 49 disponible : Electrolysis s’étend, Hello disparait

image dediée

Mozilla vient de publier la version 49 de Firefox. Elle comprend de nombreux changements et résout de sérieux problèmes, dont une faille critique signalée récemment. Elle supprime en outre Hello et étend Electrolysis, l’architecture multiprocessus de Firefox.

Electrolysis, ou e10s, est la séparation des processus au sein de Firefox. Jusqu’à présent, le navigateur n’en avait qu’un seul, dans lequel transitaient tous les calculs. Avec Electrolysis, tout ce qui touche au rendu des pages web est calculé à part, les éventuels blocages n’affectant alors plus l’interface. À la clé, des gains importants pour la réactivité générale (pas pour le chargement des pages), et une généralisation des processus séparés pour chaque extension. Il n’est par contre pas prévu de créer un processus par onglet, à l’instar de ce que font Chrome et Edge.

Firefox 48 a été la première version à activer Electrolysis chez une partie des utilisateurs. Firefox 49 va un peu loin, en laissant activée la fonctionnalité en présence d’un petit nombre d’extensions dont la compatibilité a été testée. Pour avoir Electrolysis, il fallait en effet qu’aucune extension ne soit présente, ce que Mozilla appelait la « population idéale » pendant la phase de test. Sur le nouvel échantillon, environ une personne sur deux devrait avoir Electrolysis.

Goodbye Hello

Outre ce changement important, Firefox 49 se débarrasse de Hello, qui regroupait des outils de communication. Des voix s’étaient élevées pour signaler une dérive dans l’évolution, qui perdait son statut de simple navigateur extensible pour devenir une trousse à outils plus complète. Sans doute une décision prise après un point sur les priorités de développement, les travaux restant nombreux.

Des efforts particuliers ont été faits sur les performances de Firefox sur les systèmes disposant des instructions SSE3 dans le processus, mais sans pour autant avoir d’accélération matérielle. Un constat vrai uniquement pour les versions Windows et macOS. Pour les vidéos par contre, l’amélioration devrait être ressentie aussi sur Linux. Sur macOS, on notera également une amélioration de la lisibilité des polices.

Le mode Lecture se met à parler

Le mode Lecture s’enrichit de deux nouveautés. Les utilisateurs ont d’abord plus de choix dans son paramétrage, en pouvant par exemple modifier l’espacement des lignes ou leur longueur. D’autre part, un texte peut maintenant être dicté par le moteur de synthèse vocale intégré sur le système correspondant, le lien se faisant via l’API Web Speech. Une petite icône en forme d’onde sonore est disponible à gauche et permet de changer notamment la voix et surtout la vitesse de lecture. Dans notre test, la voix butait cependant sur les apostrophes (sous Windows 10).

firefox 49

Entre autres nouveautés, un changement important est intervenu dans le gestionnaire de mots de passe intégré dans Firefox. Il peut désormais réutiliser ceux stockés via des sessions HTTP dans des sessions HTTPS. Une modification qui devrait être utile, selon Mozilla, pour mieux gérer la vague de sites profitant de Let’s Encrypt.

Trois anciennes versions de macOS ne sont plus prises en charge

Côté support, signalons une évolution importante. La prise en charge des versions 10.6, 10.7 et 10.8 de macOS disparaît, soit Snow Leopard, Lion et Mountain Lion. Sous Windows, le navigateur exige maintenant au moins un processus possédant les instructions SSE2, arrivées initialement avec les Pentium 4. Enfin, Firefox 49 corrige plusieurs failles de sécurité, dont celle critique que nous avions évoquée hier.

Parallèlement, une nouvelle mouture pour Android a été mise à disposition. Elle reprend une partie des modifications apportées par la version classique et ajoute un bonus : la mise en cache automatique des pages récentes visitées, pour une consultation hors-ligne ultérieure. À la différence de Chrome cependant, on ne peut pas choisir quelles pages on souhaite précisément sauvegarder pour plus tard.

Comme d’habitude, l’arrivée d’une nouvelle version se fera de manière transparente chez ceux qui ont déjà Firefox. Pour une nouvelle installation ou pour simplement avoir l’installeur dans un coin, il suffira de cliquer sur l’un des liens suivants :

nextinpact

Cisco corrige une vulnérabilité hautement sévère dans IOS

L’équipementier réseau et télécom Cisco a publié un correctif pour corriger une grosse vulnérabilité dans ses systèmes d’exploitation IOS, IOS XE et IOS XR.

Moins d’un mois après avoir patché ses pare-feux ASA, Cisco remet le couvert. L’équipementier a en effet annoncé avoir corrigé une faille similaire à celle exploitée par le groupe de cyberespions Equation que d’aucuns indiquent dépendre de la NSA. La vulnérabilité en question affecte les terminaux faisant tourner le système d’exploitation IOS, IOS XE et IOS XR traitant les packets IKEv1 (Internet Key Exchange version 1). Une fois exploitée, cette faille permet à des attaquants distants non authentifiés d’extraire des contenus de la mémoire d’un terminal pour accéder à des données sensibles et confidentielles.

IKE est un protocole clef utilisé par plusieurs fonctions populaires incluant le VPN Lan to Lan, l’accès distant VPN, le VPN Dynamic Multipoint et Group Domain d’Interprétation. Cisco a qualifié cette vulnérabilité comme étant hautement sévère et publié un bulletin d’alerte vendredi dernier.

L’un des précédents exploits du groupe Equation, Benigncertain, reposait sur une faille dans les pare-feux Cisco Pix et a contraint l’équipe de sécurité de Cisco de passer au crible ses autres produits pour trouver des vulnérabilités similaires. Cela a justement permis de trouver cette nouvelle faille liée à IOS, IOS XE et IOS XR.

lemondeinformatique