HTTPS Everywhere La sécurité de nos navigateurs Internet a été mise à mal ces derniers jours, via l'outil BEAST développé par deux chercheurs en sécurité. L'attaque s'appuie sur du JavaScript pour intercepter et déchiffrer les connexions TLS 1.0, ainsi que les versions antérieures ( SSL 3.0 et moins ).

La fondation Mozilla avait précisé que son navigateur Firefox n'était pas l'unique cible de cet outil, bien qu'il n'utilise pas les protocoles TLS 1.1 et 1.2, non touchés par cette attaque. Toutefois, elle souligne les faiblesses du plugin Java et invite les utilisateurs à le désactiver.

Les développeurs de Mozilla voient les choses différemment, puisqu'ils proposent sur Bugzilla de bloquer purement et simplement ce plugin. Selon eux, c'est à Oracle d'apporter un correctif pour combler cette faille de sécurité qui est aussi la cause de deux des cinq malwares les plus déployés au premier trimestre 2011, selon la société de sécurité McAfee.

Bref, la solution proposée pour Firefox s'avère relativement radicale et pourrait occasioner des dysfonctionnements dans de nombreux sites Web.

En parallèle, Google a opté pour une solution de secours pour son navigateur Chrome, avec un correctif qui brouille le texte en y injectant des paquets vides. La version 15 en sera équipée. Microsoft, quant à lui, invite les utilisateurs d'Internet Explorer à activer les protocoles TLS 1.1 et TLS 1.2, désactivés par défaut.