Sécurité

Google découvre une faille majeure dans SSL 3.0

Google a révélé dans son blog sur la sécurité la découverte d’une vulnérabilité dans le protocole SSL 3.0. Appelée POODLE (Padding Oracle On Downgraded Legacy Encryption), cette faille n’est peut-être pas aussi grave que celle de Heartbleed, qui a fait surface en avril, mais elle est suffisamment importante pour nécessiter des soins supplémentaires sécurité.

Bodo Möller, l’expert de Google qui a signalé l’échec, explique que POODLE exploite les caractéristiques de compatibilité de certaines implémentations TLS (la plupart des protocoles de protection actuels et sécurisés) qui permettent de communiquer avec des serveurs qui utilisent encore SSL 3.0, une version très ancienne et donc beaucoup plus susceptible de tomber en panne.

En pratique, cela indique que les serveurs protégés par TLS (Transport Layer Security) sont immunisés contre le problème, mais on ne peut pas en dire autant de ceux qui sont encore compatibles avec la version 3.0 de SSL (Secure Sockets Layer).

Un attaquant peut forcer ces services à utiliser SSL 3.0 pour se connecter à un ordinateur. Le cryptage de la communication peut alors être rompu, ce qui facilite l’interception ou même la modification des cookies et autres données inhérentes à la connexion. En conséquence, les données confidentielles des utilisateurs ou des applications finissent par être exposées.

  Firefox : plus de nouvelles sous le capot

Pour combattre le problème, Google recommande de désactiver immédiatement la compatibilité SSL 3.0 sur les serveurs (plus de détails ici et ici).

Les changements de navigateur sont également importants. Google promet de désactiver la prise en charge du protocole Chrome dans une prochaine version. Mozilla suit la même voie : Firefox 34, qui sortira fin novembre, sera compatible avec SSL 3.0 désactivé par défaut.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire