Thunderbird et Logjam

Thunderbird 38.1.0 (et plus récent) et la version ESR 31.8.0 comprennent les améliorations du noyau effectuées par les développeurs de Firefox pour corriger la vulnérabilité commune Logjam (CVE-2015-4000) dans tous les produits de Mozilla.

Qu'est-ce que cela signifie pour moi ?

Rien, sauf si votre serveur de messagerie utilise encore de très vieilles clés de chiffrement pour SSL/TLS. Si le serveur n'a pas été corrigé pour utiliser un ensemble plus récent de clés (2048 bits), votre connexion au serveur échoue avec le message suivant apparaissant dans la console d'erreur (Ctrl + Maj + J).

LogJam in the error console

Que dois-je faire ?

  • Si un serveur de messagerie que vous utilisez est affecté, en premier lieu contacter votre fournisseur de messagerie. Tous les serveurs devraient être mis à jour pour protéger vos informations.
  • Si vous êtes l'administrateur du serveur de messagerie, vous devez lire l’information qui est publiée par le groupe de travail qui a détecté le problème ici (en anglais). Notez en particulier le guide sysadmin (en anglais).
Lors de la consultation de cette page, votre navigateur sera testé pour voir si elle est vulnérable à l'attaque et vous serez informé en conséquence.

Il existe une solution à court terme pour ceux qui utilisent Thunderbird qui consiste à installer le module complémentaire Disable DHE (Désactiver DHE). Elle est répertoriée comme une extension pour Firefox, et doit donc être téléchargée sur votre ordinateur en utilisant un navigateur, puis installée avec le gestionnaire de modules complémentaires en utilisant Thunderbird "Installer un modules depuis un fichier…". Disable DHE n'apparaîtra pas dans le gestionnaire de modules complémentaires si vous le recherchez dans Thunderbird.

L'utilisation de l'extension n'est pas une solution à long terme et ne constitue pas un substitut à la mise à jour du serveur. En l'utilisant, vous donnez du temps à l'administrateur du serveur pour générer et installer de meilleures clés de chiffrement sur le serveur.

// Ces formidables personnes ont aidé à écrire cet article :Mozinet, J2m06. Vous pouvez également aider — découvrez comment.

Cet article vous a-t-il été utile ? Veuillez patienter…

Devenir bénévole pour l’assistance de Mozilla