Firefox interdit désormais la connexion aux sites faiblement chiffrés

Le navigateur Firefox refusera désormais de se connecter à certains sites si leur clé de chiffrement apparaît trop faible. Quelque 7.000 sur 140.000 sites des plus visités sur la toile seraient concernés.

Il n’est pas impossible que les utilisateurs de Firefox aient récemment rencontré ce message d’erreur “ssl_error_weak_server_ephemeral_dh_key” leur signalant que le site qu’ils essaient d’atteindre dispose d’une clé trop faiblement chiffrée. Et qu’en conséquence, le navigateur ne s’y connectera plus.

Plus précisément, comme nous le rapportent nos confrères de 01net.com, Firefox demandera désormais aux sites une clé de 1023 bits minimum pour l’algorithme asymétrique Diffie-Hellman (DH). Un algorithme qui, nous dit-on, est de plus en plus fréquemment adopté dans l’échange de clés symétriques appelées à chiffrer les messages.

Clés de chiffrement : Firefox veut du 1023 bits minimum

Ce refus de se contenter de clés de chiffrement moindre découle de la découverte, l’an passé, de la faille de Logjam. Cette dernière autorisait ainsi le passage d’une clé DH forte vers une clé au chiffrement limité à 512 bits. De ce fait, il devenait bien plus aisé de casser la seconde clé.

Et si cette brèche n’avait pas tardé à être comblée, il n’en demeure pas moins que des sites sont toujours trop peu protégés à ce niveau. Dans un court message publié le 30 septembre dernier sur le blog de Mozilla, David Keller, ingénieur sécurité pour Firefox, indique en effet qu’“un petit nombre de sites ne sont toujours pas configurés pour utiliser des clés suffisamment fortes”. D’où la décision de Firefox de bloquer purement et simplement les sites en question.

Environ 7.000 sites populaires concernés

Quant à savoir la proportion de sites au chiffrement insuffisant, il apparaît qu’environ 7.000 sont concernés sur les 140.000 les plus populaires sur la toile en terme de trafic. À noter pour finir qu’il avait également été observé une certaine fragilité globale de l’algorithme DH, et ce en raison d’une base de chiffres primaires ne changeant quasiment pas selon les sites. Les chercheurs recommandent d’ailleurs le recours à des clés DH 2048 bits pour éviter le risque de casse pour les clés inférieures ou égales à 1024.