Journal Brother ne mettra pas à jour les micrologiciels des imprimantes qui utilisent TLS 1.0

Posté par  . Licence CC By‑SA.
16
8
oct.
2022

Les imprimantes Brother qui ont environ 10 ans utilisent TLS 1.0 pour chiffrer les échanges en HTTPS. TLS 1.0 est maintenant bloqué par les navigateurs web car pas assez sécurisé.
Donc on ne peut plus administrer à distance ces imprimantes Brother.
La réponse du support Brother : les microcodes ne seront pas mis à jour, vive l’obsolescence programmée.
https://imgur.com/a/QSE3rsA

  • # Savoir faire perdu

    Posté par  . Évalué à 9.

    Manque de suivi à déplorer.
    Mais en plus, il est fort probable que plus personne ne sache comment intervenir sur le firmware. Et même, ont-ils encore les sources ?
    Il est des industries où le matériel ayant servi à produire du soft est mis dans un coffre (ferroviaire, militaire … Nucléaire peut-être ?).
    Mais pour ce genre de produit, on en est à des années-lumière, la première préoccupation c'est combien ça nous coûte et à combien on va le vendre, le plus vite possible.

    • [^] # Re: Savoir faire perdu

      Posté par  (site web personnel) . Évalué à 6.

      la première préoccupation c'est combien ça nous coûte et à combien on va le vendre, le plus vite possible.

      moui, visiblement Brother, spa ton frère :-)

      • [^] # Re: Savoir faire perdu

        Posté par  . Évalué à 4.

        Non. Les autres non plus.

        Il suffit d'avoir bossé dans la grande distrib (les Mulliez, c'est de vous qu'on cause) pour comprendre que la première préoccupation, c'est : à telle date dans les magasins et à tel prix. Moins les années où tout va bien. Mais c'est carrément une obsession les années où ça s'annonce mal.

        Et c'est du vécu : après avoir demandé un cahier des charges pendant très longtemps, c'est ce que notre petite équipe de R&D à pu lire sur un power point, prix et date. Rien sur la technique. Plus tard, on a obtenu une petite dizaine de lignes sur une slide.

        Ça permet aussi de découvrir que chez les "grandes marques", dès qu'on sort des modèles emblématiques, du haut de gamme, c'est sous-traité dans les mêmes usines que des produits d'entrée ou de moyenne gamme.
        Certes, une marque connue commande à cette usine une quantité de produit largement supérieure, ce qui lui donne un poids très important, et la possibilité de personnaliser beaucoup plus, de pousser les tests qualité. Mais le hardware sort des mêmes chaînes et le firmware n'aura pas beaucoup d'évolution, si ce n'est jamais.

        • [^] # Re: Savoir faire perdu

          Posté par  . Évalué à 3.

          chez les "grandes marques", dès qu'on sort des modèles emblématiques, du haut de gamme, c'est sous-traité dans les mêmes usines que des produits d'entrée ou de moyenne gamme.

          Tu pourrais développer là-dessus ? De quel type de matériel parles-tu ? tout ce qui est électronique, informatique ? Est ce qu'une série (par exemple la série d'imprimantes Brother MCP) sera toujours faite dans la même usine ou non ?

          • [^] # Re: Savoir faire perdu

            Posté par  . Évalué à 10.

            Je vais donner quelques exemples, mais en essayant de rester flou. Vous comprendrez que je n'ai pas envie que mon ancien employeur me reconnaisse quand je dis qu'il vend du …, de la …, enfin, pour le fric et surtout le fric, et d'abord le fric. Chafouin comme il est, il pourrait le prendre mal …
            Et si il se/me reconnaît quand même, qu'il se rassure : il n'est pas le seul ! J'arrose de façon vague parce que c'est pareil partout.

            J'ai principalement vu passer du matos "multimédia".

            Exemple : TV en marque propre vs TV Sony. Une certaine année, pour une certaine diagonale, le modèle en marque propre sortait possiblement de la même usine que le modèle Sony. Chez la marque propre : gigantesques difficultés pour obtenir un FW débuggé, traduit correctement, sans régression parce que l'ingénieur chinois qui l'a pondu à changé sans prévenir et n'a pas utilisé le bon zip (oui, git n'est pas trop à la mode là-bas). Sur le modèle Sony, qualité d'image à peine meilleure, mais finitions nettement plus propres (NB: ça coûte une blinde de faire un moule pour plastique), et FW custom, au petits oignons, parce que Sony représente un volume de commande de, je ne sais pas exactement, 10 à 1000 fois supérieur à la marque propre (NB: et doit faire ces volumes aussi pour rentabiliser ses moules plastique). Donc, c'est totalement logique, le fournisseur ne va pas s'emmerder à allouer des ressources coûteuses pour celui qui en commande 1000 ou 2000. En tout.

            Autre exemple : casque Bluetooth avec réduction de bruit. Cette fois, je suis certain que le modèle en marque propre sortait de la même usine Grand Sun que le(s) modèle(s) Sony. Il y a même des ressemblances frappantes (positionnement des boutons, formes, etc). Sans aucun doute, je prendrai le modèle Sony, quitte à payer 2 ou 3 fois plus cher, vu que je suis quasi certain qu'il fonctionnera au moins 2 ou 3 fois plus longtemps.

            Plus ou moins relatif au sujet : avant (y'a longtemps !), Philips représentait quelque chose. Peut-être pas le haut de gamme, mais quand même quelque chose de souvent haut dessus du lot. Depuis plusieurs années, la marque a été découpée. Philips s'est focalisé sur ses lampes connectées (sous le nom Philips Hue, mais ça a changé je crois, je ne sais plus lequel maintenant). Mais au supermarché, on trouve aussi des lampes basiques sous la marque Philips. Sauf que cette "marque là", c'est du "chinois" pour jus (je peux me permettre, ma femme shi zhong guo ren !)

            Attention, une "grande marque" n'est pas toujours synonyme de qualité systématique, il n'y a qu'à voir le problème de #GSOD sur du @Samsung @SamsungMobile haut de gamme top moumoute flagship

            Bref, avant ce job, l'effet "j'achète de la marque donc c'est forcément bon" marchait assez bien avec moi.

            Maintenant, je sais que tous font de la merde en dessous d'un certain seuil. Et que ce seuil à tendance à grimper pour le malheur de nos portefeuilles.

            PS: j'ai pas fait exprès de prendre deux exemples Sony, je suis pas "sponsorisé" malheureusement …

  • # Qui programme l'obsolescece?

    Posté par  (site web personnel) . Évalué à 10.

    Je comprends que ton attaque est contre Brother. De mon point de vue, c'est contre les navigateurs web qu'elle devrait se diriger.

    Tu parles de la programmation de l'obsolescence. Brother n'avait aucun plan pour bricker leurs imprimantes. Dans leur plan, elle fonctionnait parfaitement y a 10 ans et il était prévu que le logiciel fonctionne tout autant de nos jours.
    Des gens avaient effectivement un planning qui prédiraient plusieurs années à l'avance que les imprimantes seraient inurilisablzs : ces gens sont les navigateurs web. C'est eux qui ont programmé cette obsolescence.

    • [^] # Re: Qui programme l'obsolescece?

      Posté par  . Évalué à 10.

      Je suis d'accord sur ce point, mais dans la mesure où Brother ne maintient plus son matériel en état de fonctionnement ils devraient au moins avoir l'obligation de publier les specs et le code source rattaché à ce matériel (et cela vaut pour les autres marques et type de hardware)

      • [^] # Re: Qui programme l'obsolescece?

        Posté par  (site web personnel) . Évalué à 7.

        avoir l'obligation de publier les specs et le code source rattaché à ce matériel (et cela vaut pour les autres marques et type de hardware)

        hormis France Telecom et le minitel, j'ai malencontreusement rarement vu ça :/ Cela devrait pourtant effectivement être la norme (va falloir demander à Renault et Peugeot pour leurs bagnoles :p)

    • [^] # Re: Qui programme l'obsolescece?

      Posté par  . Évalué à 10.

      Il ne faut pas s'en prendre aux navigateurs web.

      TLS est un élément de sécurité. Et quand un algo de chiffrement n'est plus sécurisé, il ne doit plus être utilisé. J'imagine que tu es content que ton numéro de carte bleue qui passe sur un réseau ne peux pas être décrypté dans un temps acceptable (parce que c'est toujours une histoire de temps acceptable)

      La RFC 8996 demande à tout le monde de ne plus l'utiliser, et j'imagine que beaucoup de serveurs web qui tournent "en roue libre" et ne sont plus mis à jour acceptent encore cet algorithme.
      Donc, pour faire en sorte que le web dans sa globalité, soit sécurisé, bloquer son utilisation dans les navigateurs web est la manière la plus simple de s'y prendre, vu qu'ils sont mis à jour très régulièrement par tous ses utilisateurs.

      Openssl va supprimer le code TLS v1.0 et v1.1 dans pas longtemps, alors ça va devenir très compliqué, voir impossible de continuer à utiliser cet algo en utilisant les nouvelles versions des dépendances.

      Bref, on redirige l'attaque sur Brother, qui comme beaucoup de fabricants, arrête de mettre à jour ses firmwares (souvent après quelques années seulement)

      • [^] # Re: Qui programme l'obsolescece?

        Posté par  (site web personnel) . Évalué à 3. Dernière modification le 08 octobre 2022 à 15:54.

        TLS est un élément de sécurité. Et quand un algo de chiffrement n'est plus sécurisé, il ne doit plus être utilisé.

        Dans la théorie on est d'accord.
        Dans la pratique "plus sécurisé" dépend fortement de l’intérêt de la cible, à un moment il faut se dire aussi qu'une imprimante sur un réseau local pour une TPE lambda n'a pas besoin d'un niveau "top secret" et que ça va très bien avec TLS 1.0 au moins en backup.

        Alors certes il semble vu les commentaires que Brother devrait être critiqué pour ne pas avoir utilisé la version courante de TLS au moment de la sortie du matos, mais on peut aussi critiquer la désactivation d'un truc qui n'est plus au plus haut niveau de sécurité mais encore largement acceptable pour du vieux matos qui marche encore.

        Openssl va supprimer le code TLS v1.0 et v1.1 dans pas longtemps, alors ça va devenir très compliqué, voir impossible de continuer à utiliser cet algo en utilisant les nouvelles versions des dépendances.

        Ou alors il ne faudra pas en vouloir aux gens qui restent sur d'anciennes versions d'Openssl (ou de navigateur, ça peut faire mal), ils auraient une raison légitime de ne pas mettre à jour avec une version avec des corrections de failles pour leurs autres matos qui pourraient être mieux sécurisés mais on a décidé pour eux de les emmerder à choisir entre 2 versions ayant chacune 1 problème pour leur usage.

        A un moment, la volonté de sécuriser au maximum sans prendre en compte la réalité du monde va créer plus de failles qu'en colmater (et ça ne sera pas la première fois qu'on fera ce genre de bêtise, souvenons-nous des "listes blanches" de sites et les employés emmerdés connectaient un modem à côté pour pouvoir faire leur taf, et plein de failles car non surveillé).

        • [^] # Re: Qui programme l'obsolescece?

          Posté par  . Évalué à 3.

          Mec, TLS 1.0 date de 1999, 1.2 date de 2008, on va pas pousser mémé dans les orties quand même, surtout quand elle est en short.

          Brother à faire un travail de gougnafier en 2012 en n’incluant pas le support 1.2 qui avait déjà 4 ans.

          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

      • [^] # Re: Qui programme l'obsolescece?

        Posté par  (Mastodon) . Évalué à 10. Dernière modification le 08 octobre 2022 à 22:16.

        Reste que le terme obsolescence progammée reste incorrecte. L'imprimante imprimera toujours et sera utilisable comme avant.

        Pinailler sur la baisse de la sécurité de l'appli web d'administration, alors que ce qui est réellement important, c'est à dire les données des documents que tu imprimes, sont et ont toujours été transférés en clair sans chiffrement, c'est juste de l'hypocrisie.

        • [^] # Re: Qui programme l'obsolescece?

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          Tant qu'on peut continuer à imprimer par le web…

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

        • [^] # Re: Qui programme l'obsolescece?

          Posté par  . Évalué à 1.

          D'autant plus que beaucoup d'imprimantes permettent de se passer de cette appli web d'administration ( peut-être plus difficile pour certaines imprimantes récentes pas cher, mais d'un autre côté, on a aussi la qualité qu'on paye).

    • [^] # En passant par USB…

      Posté par  (site web personnel, Mastodon) . Évalué à 5.

      Il y a toujours la possibilité de mettre à jour le firmware en passant par le port USB. Mais ça nécessite un PC sous Windows ou un Mac, officiellement de désactiver les antivirus et firewall (je suppose qu'en fait c'est pour se prémunir des systèmes trop restrictifs), et surtout ça nécessite d'être sur place.

      D'autre part, le dernier firmware de ce modèle date de mars 2018, si l'installation avait été faite à l'époque elle n'aurait posé aucun problème.

      La connaissance libre : https://zestedesavoir.com

    • [^] # Re: Qui programme l'obsolescece?

      Posté par  (site web personnel) . Évalué à 4. Dernière modification le 17 octobre 2022 à 17:05.

      Je comprends que ton attaque est contre Brother. De mon point de vue, c'est contre les navigateurs web qu'elle devrait se diriger.

      Tout à fait. Et qu'ils réactivent également flash ces malotrus !

      • [^] # Re: Qui programme l'obsolescece?

        Posté par  . Évalué à 2.

        Ah non, cette merde n'a jamais été aussi bien depuis qu'elle est morte et enstérée !

        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

  • # Obsolescence pas programmée

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 08 octobre 2022 à 12:56.

    La réponse du support Brother : les microcodes ne seront pas mis à jour, vive l’obsolescence programmée.

    Donc selon toi, quand Brother a conçu l'imprimante, ils ont prévu que 10 ans après TLS 1.0 ne serait plus supporté par les navigateurs, et ils ont tout programmé en conséquence ??

    On met vraiment « obsolescence programmée » à n'importe quelle sauce…

    Combien de personnes ont encore un modèle concerné par ce problème ? Combien coûte la mise à jour des firmwares de ces vieux modèles ? Quel est le risque de régression, combien faut-il tester ?

    N'est-il pas possible d'utiliser une version de navigateur de l'époque pour dialoguer avec ce matériel de l'époque ?

    • [^] # Re: Obsolescence pas programmée

      Posté par  . Évalué à 10.

      D'un autre coté, si on croit wikipedia:
      - Janvier 1999 : Publication de la norme TLS 1.0
      - Avril 2006 : publication de la norme TLS 1.1
      - Août 2008 : publication de la norme TLS 1.2
      - Août 2018 : publication de la norme TLS 1.3

      Si on parle d'un firmware d'il y a 10 ans, j'en déduis que Brother a publié un firmware qui utilise TLS 1.0 alors que 1.2 (qui n'est pas déprécié aujourd'hui) existait déjà depuis 4 ans

      Imaginons qu'en 2012, ils auraient pu sortir le firmware avec TLS 1.2. On pourrait penser que 4 à 6 ans seraient acceptable pour fournir des mises à jours, ce qui nous amène en 2018, où on voyait se profiler TLS 1.3…

      Je veux bien comprendre qu'on ne peux pas publier des firmwares indéfiniment, mais on a assez peu d'exigence sur ce qui est publié en GA et au minimum requis qui est fait lors de la période de support…

      • [^] # Re: Obsolescence pas programmée

        Posté par  . Évalué à 10.

        Si on parle d'un firmware d'il y a 10 ans, j'en déduis que Brother a publié un firmware qui utilise TLS 1.0 alors que 1.2 (qui n'est pas déprécié aujourd'hui) existait déjà depuis 4 ans

        Ça existait peut-être sur le papier ou dans les milieux spécialisés il y a 10 ans mais pour le grand public non.

        D'après ce lien, le support de TLS 1.1 a été activé par défaut en août 2014 pour Chrome 38 et en février 2014 pour Firefox 27.
        Pour Windows (et je suppose pour Internet Explorer), c'est depuis la sortie de Windows 8.1 en octobre 2013 que TLS 1.1 est activé par défaut.

        Qu'un fabricant sorte en 2012 une imprimante grand public compatible uniquement TLS 1.0 était donc tout à fait normal.

      • [^] # Re: Obsolescence pas programmée

        Posté par  (site web personnel) . Évalué à 8.

        qui n'est pas déprécié aujourd'hui

        une meilleure traduction de deprecated est : obsolète, cf. traductions-classiques

        • [^] # Re: Obsolescence pas programmée

          Posté par  (site web personnel) . Évalué à 9.

          C'est pas une meilleure traduction, c'est la traduction correcte dans le contexte.

          Déprecié n'a aucun sens dans le contexte où il est utilisé ici.

          De même que "crime" utilisé à tour de bras quand on parle de "délit", "déception" utilisé à la place de "tromperie" (traduction de "deception"). Ce sont ceux qui m'agacent le plus

    • [^] # Re: Obsolescence pas programmée

      Posté par  (site web personnel) . Évalué à 10.

      Le terme est discutable, mais on peut proposer un séminaire aux dirigeants de Brother aux îles Kerguelen pour les faire réfléchir au concept.

      des vivres et un transport pour le retour? désolé, c'est pas programmé LOL !

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: Obsolescence pas programmée

      Posté par  . Évalué à 10. Dernière modification le 09 octobre 2022 à 12:26.

      Donc selon toi, quand Brother a conçu l'imprimante, ils ont prévu que 10 ans après TLS 1.0 ne serait plus supporté par les navigateurs, et ils ont tout programmé en conséquence ??

      On met vraiment « obsolescence programmée » à n'importe quelle sauce…

      Ce n'est pas de l'obsolescence "programmée", mais ça reste de l'obsolescence par négligence (mais comme le terme "obsolescence programmée" a eu pas mal d'écho médiatique, je comprends qu'il soit utilisé plus facilement y compris un peu hors contexte)

      Si on veut s'en sortir avec des fabricants qui se comportent de manière plus sérieuse, il est urgent que les pouvoirs publics mettent en place un cadre qui oblige les fabricants à assurer du support à plus long terme ou à défaut à fournir les sources (et clés de déverrouillage de bootloaders, etc.) des produits qui ne sont plus maintenus !

      • [^] # Re: Obsolescence pas programmée

        Posté par  (site web personnel) . Évalué à 8. Dernière modification le 09 octobre 2022 à 14:14.

        La décision de ne plus investir dans la prise en charge d'un produit relève difficilement de la négligence telle que définie dans ton lien ou même telle que définie par le dictionnaire à mon sens.

        Elle pose la question des obligations de suivi que le fabriquant doit au client s'agissant d'un produit complexe (une simple petite cuillère ne pose a priori pas de question de maintenance par comparaison [1]) pour permettre son fonctionnement (terme qu'il conviendrait de préciser selon qu'on l'envisage avec ou sans compromis et auquel cas de quelle ampleur : fonctionnement complet, fonctionnement le plus complet complet possible, suffisamment complet eu égard à ce que le client est en droit d'en attendre etc.)

        Elle se double d'une autre question, évoquée plus haut, dans le domaine logiciel (et sans doute également matériel à l'ère des imprimantes 3D) : si le fabriquant décide de ne plus assurer la prise en charge, devrait-on lui enjoindre de donner au client le moyen de le faire lui-même s'il le souhaite (specs ou sources du logiciel, specs physiques des pièces détachées) ?

        [1] Pourtant — je viens d'y penser — on pourrait se demander si un set de 12 cuillères devrait pouvoir être complété au cas où l'une d'entre elle viendrait à être cassée/perdue afin de ne pas rendre l'ensemble du set inutilisable ou en tout cas de lui provoquer une perte d'utilité d'une certaine importance.

        • [^] # Re: Obsolescence pas programmée

          Posté par  (site web personnel) . Évalué à 6.

          « Elle se double d'une autre question, évoquée plus haut, dans le domaine logiciel (et sans doute également matériel à l'ère des imprimantes 3D) : si le fabriquant décide de ne plus assurer la prise en charge, devrait-on lui enjoindre de donner au client le moyen de le faire lui-même s'il le souhaite (specs ou sources du logiciel, specs physiques des pièces détachées) ? »

          Il devrait être interdit de ne pas fournir les spécifications complètes du matériel. Cela chamboulerait certainement les pratiques, mais réduirait considérablement le champ des méthodes commerciales douteuses. En s'intéressant à une telle mesure d'un point de vue élevé, ne discerne-t-on pas qu'elle évite potentiellement de la pollution particulièrement inutile (plus d'objets inutiles rendus irréparables par des secrets d'affaire), et permet le développement d'une saine concurrence, le tout avec un coût économique quasi nul ?

          « [1] Pourtant — je viens d'y penser — on pourrait se demander si un set de 12 cuillères devrait pouvoir être complété au cas où l'une d'entre elle viendrait à être cassée/perdue afin de ne pas rendre l'ensemble du set inutilisable ou en tout cas de lui provoquer une perte d'utilité d'une certaine importance. »

          Un quidam assez snob pour ne pas supporter des cuillers dépareillées ne mérite pas que le législateur se penche sur ses soucis.

          « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

      • [^] # Re: Obsolescence pas programmée

        Posté par  . Évalué à 7. Dernière modification le 09 octobre 2022 à 15:14.

        Reprocher aux fabricants d'imprimantes l'obsolescence par la version de TLS de leur firmware, c'est un peu comme faire un contrôle fiscal à Al Capone

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

    • [^] # Re: Obsolescence pas programmée

      Posté par  . Évalué à 3.

      Combien de personnes ont encore un modèle concerné par ce problème ?

      J'ai la version usb-only d'un modèle concerné par le problème. Pour le coup on est plutôt sur le contraire de l'obsolescence programmée : l'imprimante a 20 ans, marche très bien, et on peut toujours acheter des consommables.

  • # Copieurs

    Posté par  (site web personnel) . Évalué à 10.

    Mon expérience de l'administration de SI (notamment de petits serveurs http, smtp et pop3/imap) c'est de devoir perpétuellement jongler entre les exigences de sécurité d'un coté et les usagers de l'autre, tributaires d'un équipement moisi et souvent pas à niveau coté TLS. Par exemple Windows 7 (encore en activité dans plein d'endroits après la publication de la RFC 8997) ne gère pas mieux que TLS 1.1 (sauf à faire des pirouettes cacahuètes).

    La palme du pire, dans mon expérience, revient aux copieurs : installés pour assez longtemps, pas mis à jours, et souvent obsolètes au moment de leur installation. Communiquer avec un samba ou un smtp signifie quasiment systématiquement d'abaisser le niveau de sécurité du protocole.

    On s'en sort en jonglant avec des proxys mais c'est souvent consternant et pénible à diagnostiquer.

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: Copieurs

      Posté par  (site web personnel) . Évalué à 10.

      Les objets connectés peuvent cumuler tout ou partie :

      • microcode sans support de TLS 1.2 (et sans SNI)
      • parfois pas de possibilité de mise à jour, parfois inaccessible physiquement pour une mise à jour qui n'est possible qu'avec accès physique
      • "vieux" matériel, donc pas d'accélération matérielle pour la cryptographie moderne, et risque pour la batterie
      • absence de mises à jour
      • cryptographie -> plus d'échanges réseau -> coût au paquet sur certains réseaux -> cryptographie la moins bavarde retenue
      • pour virer TLS 1.0, il faut attendre que le dernier objet limité meurt…

      (Idéal : configurable, mise à jour possible, mises à jour sécu faites, etc. La régulation européenne est partie pour imposer tout cela)

  • # Il reste le HTTP en clair

    Posté par  . Évalué à 10. Dernière modification le 08 octobre 2022 à 21:49.

    Au pire, l'imprimante peut sans doute s'administrer en http, en clair.
    Et pour reprendre ce que dit Polux, avec un proxy https devant, ça fait la blague.

    C'est pénible, mais ça reste faisable.

    Si on veut taper sur Brother (oh oui, on veut, c'est dredi non ?), on peut parler des formats de toner incompatibles d'une génération à une autre sur une même gamme (donc le stock de toner devient inutilisable après un renouvellement), ou des drivers proprio en 32 bits pour Linux (un peu moins grave quand on a IPP Everywhere).

    • [^] # Re: Il reste le HTTP en clair

      Posté par  . Évalué à 6.

      https ayant été activé par défaut via l'interface web d'administration et ne pouvant être désactivé sur le panneau de l'imprimante, il ne peut plus être utilisé, il est renvoyé systématiquement vers https.

    • [^] # Re: Il reste le HTTP en clair

      Posté par  . Évalué à 5.

      Oui, ou le browser devrait tout simplement permettre d'accéder à un site avec une version ancienne de TLS, quite à afficher un gros warning effrayant.

      • [^] # Re: Il reste le HTTP en clair

        Posté par  . Évalué à 1.

        C'est une bonne idée pour qu'il y ait une faille dans le code du warning et que ça puisse être by-passé. Alors que si on retire le code, déjà, ça simplifie le code, donc moins de risque de bug et puis ça ne se by-pass pas trop.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Il reste le HTTP en clair

          Posté par  (site web personnel) . Évalué à 3. Dernière modification le 14 octobre 2022 à 08:31.

          Du coup les genss vont chercher une autre solution pour répondre au besoin, qui sera encore plus trouée car plus maintenue, et du coup moins de sécurité réelle pour payer le confort d'une sécurité ressentie.

          Bravo.

  • # Un bon vieux firefox dans une image Docker

    Posté par  (site web personnel) . Évalué à 7.

    Contre l'obsolescence programmée et la crypto dépréciée, tu peux faire tourner un vieux firefox dans une image Docker.

  • # Et si c’était juste le hardware

    Posté par  . Évalué à 2.

    Bonjour,

    Et si le problème c’était juste que le hardware ne peut pas faire mieux que le TLS 1.0 ?

  • # La même avec le serveurs HP et ILO3/ILO4

    Posté par  . Évalué à 5.

    J'ai eu le même problème en voulant installer un vieux HP DL380 Gen7 … en voulant mettre en place la connexion à iLO 3 … impossible TLS trop vieux.

    https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-a00020426en_us

    HPE Integrated Lights-Out 2 (iLO 2) supports TLS 1.0
    HPE Integrated Lights-Out 3 (iLO 3) supports TLS 1.0 and 1.1
    HPE Integrated Lights-Out 4 (iLO 4) supports TLS 1.0, 1.1, and 1.2

    eric.linuxfr@sud-ouest.org

    • [^] # Re: La même avec le serveurs HP et ILO3/ILO4

      Posté par  . Évalué à 5.

      Dans le genre avec HP : sur les systèmes Apollo 6000 Gen9 (des machins très très chers), l'accès Web à l'admin du module réseau requiert Flash. Bon, il y a une alternative par SSH, mais ça fait zarbi de voir du flash dans un matériel comme ça :).

  • # Firefox et TLS1.0?

    Posté par  (site web personnel) . Évalué à 10.

    Est-ce que tu peux essayer de forcer un Firefox récent à TLS 1.0 via la config suivante:

    https://techsupport.screenplay.com/hc/en-us/articles/4411787707405-Setting-the-TLS-1-0-preference-in-Firefox

    • [^] # Re: Firefox et TLS1.0?

      Posté par  . Évalué à 3.

      Houaaa, ça marche, merci.

    • [^] # Re: Firefox et TLS1.0?

      Posté par  . Évalué à 6. Dernière modification le 10 octobre 2022 à 21:31.

      Et il y a le même réglage dans Thunderbird pour les serveurs de courrier en retard (Rogntudju).

      Et ça marche, tant que Firefox et Thunderbird ne suppriment pas totalement TLS1.0/TL1.1. Avec les versions ESR on est tranquille encore deux ans.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.