..
Je ne vois pas la relation directe entre cette évolution d'Evernote et Windows XP. La faille "poodle" de SSL v3 n'est pas propre à XP, elle permet de décrypter les données sur une connexion (Vincent Hermann .. Next INpact .. 15 octobre 2014).
Mises à jour ..
Si la faille est importante, les leviers d’action ne manquent pas. Côté serveurs par exemple, les administrateurs peuvent complètement désactiver SSLv3 et former l’obligation de TLS, idéalement dans sa mouture 1.2, soit la plus récente. Mais évidemment, les choses ne sont pas aussi simples. Il y a en effet un facteur qui risque de faire grincer des dents à une partie des utilisateurs : de nombreux anciens logiciels et système ne sont pas compatibles avec TLS. Parmi eux, Internet Explorer 6 dans Windows XP, qui ne supporte que SSLv3. Si les entreprises peuvent être informées du problème, il sera beaucoup plus délicat de faire basculer les particuliers. À moins évidemment que chaque entreprise mette en place sur son site web un avertissement invitant les utilisateurs à se tourner vers un autre navigateur.
.. la situation des navigateurs est pour le moment mitigée. Un site web permet de tester leur vulnérabilité et, actuellement, seul Firefox 33 (qui vient tout juste de sortir) semble immunisé. Un autre consacré à la faille de sécurité dresse le bilan des actions à mener sur les serveurs et navigateurs, par exemple dans le cas d’Apache.
Mais pour les autres, notamment Chrome, la solution est peu souvent idéale, le navigateur de Google ne pouvant être épargné qu’à travers un commutateur ajouté dans son raccourci sur le bureau. En d’autres termes, si Chrome est ouvert via un lien dans un autre logiciel, le raccourci ne sera pas pris en compte. Dans Internet Explorer, la solution est beaucoup plus simple : il suffit de se rendre dans les options Internet, puis dans l’onglet Avancé et y désactiver « Utiliser SSL 3.0 ». Quant à Firefox, Mozilla a déjà réagi sur le sujet en annonçant que SSLv3 serait tout bonnement désactivé par défaut dans la future 34 du navigateur, prévue pour le 25 novembre (même si, comme déjà évoqué, la toute récente version 33 n'est pas vulnérable).
Enfin, sachez que CloudFlare et Tor ont réagi à cette faille. Le premier a annoncé immédiatement la désactivation complète de SSLv3, tandis que le second a publié une page explicative montrant comment changer la configuration du Tor Browser pour forcer l'utilisation de TLS.
En ce qui concerne Evernote, voici une note de Fabien Vincent le 14 octobre 2014 ..
En cherchant une application pour auto-héberger mes notes et remplacer EverNote, j’ai été séduit par l’application Laverna.
Les fonctionnalités qui m’ont attirées sont les suivantes :
. Gérer vos notes, même lorsque vous êtes déconnecté
. Cryptage sécurisé côté client (AES)
. Possibilité de synchroniser avec DropBox – ce que je ne ferais pas bien entendu
. Boutons de contrôle WYSIWYG
. Coloration syntaxique
. Raccourcis clavier
Pour une démonstration : https://laverna.cc/
Pour l’installation, il suffit de faire un git clone du repository dans un Virtual Host sécurisé : https://github.com/Laverna/laverna
Bref, une application web de plus auto-hébergée !
En ce qui concerne XP, la meilleure solution est de s'en passer. Installer une distribution Linux sur son PC n'est pas très compliqué. De plus, ça donne à l'ordinateur une nouvelle jeunesse.
@+