Poodle: Les ingénieurs de Google découvrent une attaque exploitant SSL 3.0

Une nouvelle vulnérabilité semblable à Heartbleed a été découverte récemment par trois ingénieurs de l’équipe de sécurité de chez Google.

Poodle: Les ingénieurs de Google découvrent une attaque exploitant SSL 3.0

Nommée « Poodle », (Padding Oracle On Downgraded Legacy Encryption) cette faille affecte le protocole SSL 3.0 (Secure Socket Laye), une ancienne norme de chiffrement lancée depuis plus de 15 ans maintenant et toujours utilisée par quelques serveurs et navigateurs internet.

Ce protocole permettant à l’époque de sécuriser certaines connexions Internet est de nos jours remplacé par un mécanisme de chiffrement plus récent, et standardisé, appelé (TLS) (Transport Layer Security).

Le problème n’est pas lié aux certificats SSL directement mais à la version du protocole utilisé et permettant aux pirates de réaliser un « man-in-the-middle » dans le but déchiffrer les cookies HTTP, de dérober des données personnelles, des mots de passe, préférences de sites, etc. De plus, l’attaque POODLE peut forcer une connexion en SSL 3.0 !

Pour atténuer cette vulnérabilité, il suffit de désactiver SSL 3.0 en forçant l’utilisation de TLS du coté du serveur, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Coté client, le risque reste mesuré vu la « facilité » de la résolution du souci. En effet, il est simplement conseillé de mettre à niveau son navigateur web au plus vite que possible pour éliminer définitivement la possibilité d’être victime à cette attaque.

Néanmoins, cette faille reste de même très menaçante, il est prévu qu’elle soit fortement exploitée par les pirates vu le nombre d’utilisateurs pouvant potentiellement être hackés via des attaques visant à forcer l’utilisation d’un protocole moins fiable, SSL 3.0.

Rappelons que l’hébergeur web Netissime.com propose des solutions de sécurité web notamment des certificats SSL à partir de 49€ par an. Par ailleurs, les ingénieurs de Netissime pourront intervenir dans le cadre de prestations d’infogérance pour sécuriser vos sites web et vos serveurs dédiés.

Faille Poodle serveur

Poodle : La faille sur SSL qui rend vulnérables nos navigateurs


Share this Article




Related Posts