Bloquer le chiffrement RC4 non sécurisé avec Firefox

Par Goofy, . Lien permanent Firefox

par Martin Brinkmann, source : cet article de ghacks

Pourquoi désactiver RC4

Chaque fois que vous vous connectez à un site web sécurisé en utilisant Firefox ou tout autre navigateur moderne, des négociations se produisent en arrière-plan pour déterminer ce qui est utilisé pour chiffrer la connexion.

RC4 est un chiffrement de flux qui est actuellement pris en charge par la plupart des navigateurs, même s’il ne peut être utilisé que comme une solution de repli (si d’autres négociations échouent) ou pour des sites en liste blanche.

On a récemment révélé des exploits qui profitent des failles dans RC4 et permettent aux pirates d’exécuter des attaques dans un délai acceptable, par exemple pour déchiffrer les cookies web qui contiennent souvent des informations d’authentification.

Mozilla a envisagé de supprimer complètement RC4 de Firefox avec les versions 38 ou 39 du navigateur, mais a décidé d’y renoncer sur la base de données de télémétrie. Dans l’état actuel des choses, RC4 ne sera pas désactivé dans Firefox 39 ou 40.

Astuce : vous pouvez vérifier si votre navigateur est vulnérable en visitant ce site de test pour RC4. Si vous voyez des notifications rouges sur la page après l’affichage du texte, cela signifie qu’il est vulnérable aux attaques.

Il faut noter que d’autres navigateurs, Google Chrome, par exemple, sont également vulnérables. Apparemment Google travaille aussi à l’abandon complet du support RC4 dans Chrome

Comment désactiver RC4 dans Firefox

Les utilisateurs de Firefox peuvent désactiver complètement RC4 dans leur navigateur web. Il convient de noter que certains sites sécurisés peuvent ne pas fonctionner après cette opération.

Saisissez about:config dans la barre d’adresse du navigateur et appuyez sur la touche Entrée. Confirmez que vous serez prudent lorsque apparaît l’avertissement de sécurité.

Dans le champ de recherche, saisissez : RC4 et double-cliquez sur les préférences suivantes pour qu’elles passent à false

  • security.ssl3.ecdhe_ecdsa_rc4_128_sha
  • security.ssl3.ecdhe_rsa_rc4_128_sha
  • security.ssl3.rsa_rc4_128_md5
  • security.ssl3.rsa_rc4_128_sha

firefox-disable-rc4.jpg

Une fois que vous aurez opéré ces modifications, redémarrez Firefox et rechargez la page de test. Vous devriez voir des messages d’échec de connexion au lieu des avertissements.

Si vous rencontrez des problèmes de connexion à des sites sécurisés après avoir fait les changements, vous pourriez avoir besoin de rétablir la prise en charge du RC4. Pour ce faire, répétez les étapes ci-dessus et assurez-vous que les valeurs des préférences sont ramenées à true

Haut de page