Thunderbird 38.1.0 (et plus récent) et la version ESR 31.8.0 comprennent les améliorations du noyau effectuées par les développeurs de Firefox pour corriger la vulnérabilité commune Logjam (CVE-2015-4000) dans tous les produits de Mozilla.
Qu'est-ce que cela signifie pour moi ?
Rien, sauf si votre serveur de messagerie utilise encore de très vieilles clés de chiffrement pour SSL/TLS. Si le serveur n'a pas été corrigé pour utiliser un ensemble plus récent de clés (2048 bits), votre connexion au serveur échoue avec le message suivant apparaissant dans la console d'erreur (Ctrl + Maj + J).
Que dois-je faire ?
- Si un serveur de messagerie que vous utilisez est affecté, en premier lieu contacter votre fournisseur de messagerie. Tous les serveurs devraient être mis à jour pour protéger vos informations.
- Si vous êtes l'administrateur du serveur de messagerie, vous devez lire l’information qui est publiée par le groupe de travail qui a détecté le problème ici (en anglais). Notez en particulier le guide sysadmin (en anglais).
Il existe une solution à court terme pour ceux qui utilisent Thunderbird qui consiste à installer le module complémentaire Disable DHE (Désactiver DHE). Elle est répertoriée comme une extension pour Firefox, et doit donc être téléchargée sur votre ordinateur en utilisant un navigateur, puis installée avec le gestionnaire de modules complémentaires en utilisant Thunderbird "Installer un modules depuis un fichier…". Disable DHE n'apparaîtra pas dans le gestionnaire de modules complémentaires si vous le recherchez dans Thunderbird.
L'utilisation de l'extension n'est pas une solution à long terme et ne constitue pas un substitut à la mise à jour du serveur. En l'utilisant, vous donnez du temps à l'administrateur du serveur pour générer et installer de meilleures clés de chiffrement sur le serveur.
