15/11/2024

Actu Cybersécurité

Poodle : Une vulnérabilité critique dans SSL 3.0

Une nouvelle vulnérabilité semblable à Heartbleed a été découverte dans un vieux protocole, mais encore utilisée à l'échelle mondiale : le protocole de chiffrement SSL 3.0. Cette vulnérabilité permettrait à l'attaquant de déchiffrer le contenu des connexions chiffrées entre les clients et les sites internet.

Nommé POODLE (Padding Oracle On Downgraded Legacy Encryption - CVE-2014-3566), cette vulnérabilité est la découverte de l'équipe de sécurité de chez Google. Découverte il y a un mois, elle touche tous les produits qui intègre l'utilisation du SSL version 3, notamment les navigateurs (Chrome, Firefox et Internet Explorer).

L'attaque POODLE permet à un attaquant de réaliser un man-in-the-middle dans le but déchiffrer les cookies HTTP, de dérober des données personnelles, des mots de passe, préférences de sites, etc. De plus, l'attaque POODLE peut forcer une connexion en SSL 3.0 !

La documentation SSL POODLE

Il est recommandé de désactiver le SSLv3 sur les clients et les serveurs. De son côté, Google annonce que le support de SSLv3 sera retiré de tous ses produits dans les mois à venir. Concernant le navigateur Firefox, la fondation Mozilla annonce que le SSLv3 sera désactivé par défaut dans Firefox 34.

En attendant, vous pouvez désactiver manuellement le SSLv3 dans votre navigateur :

- Chrome : Exécuter la commande "chome.exe --ssl-version-min=tls1"

- Firefox : Accéder à "about:config" et indiquer 1 pour l'option "security.tls.version.min"

Le protocole SSLv3 est obsolète depuis un moment, il nécessaire d'utiliser le protocole TLS (Transport Layer Security) qui offre plus de sécurité, et qui est en quelque sorte le grand frère du SSL.

Une infographie relayée par Jesper Jurcenoks sur Twitter résume le fonctionnement de POODLE :

poodle1

Pour finir, un mot sur les chercheurs qui ont trouvé cette faille. Il s'agit de Bodo Möller, Thai Duong et Krzysztof Kotowicz, tous les trois de chez Google.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.