La faille POODLE serait parfois présente au sein du protocole TLS

La faille POODLE serait parfois présente au sein du protocole TLS

Trois ingénieurs de Google ont découvert en octobre la faille POODLE qui affectait le protocole SSL. Cette vulnérabilité toucherait également le protocole TLS.

Publié le 10 décembre 2014 - 15:14 par François Giraud

POODLE : une faille de sécurité critique qui peut être exploitable avec TLS

Baptisée POODLE, pour Padding Oracle On Downgraded Legacy Encryption, une nouvelle faille de sécurité critique vient d’être découverte par trois ingénieurs de Google. Cette vulnérabilité affecte le protocole SSL qui est utilisé pour chiffrer des échanges de données entre un site Internet et un navigateur, mais peut, dans certains cas toucher le protocole TLS (Transport Layer Security).

poodle-test

Publicité

Les webmasters doivent effectuer des vérifications sur leurs sites HTTPS

La faille POODLE permet aux personnes malveillantes d’accéder à des données confidentielles en se faisant passer pour la victime. Une faille importante qui peut notamment toucher les serveurs d’une banque. Dans le cas présent, la faille se sert de la troisième version du protocole SSL. Certains sites utilisent encore cette version, qui date de quinze ans et qui sécurise les communications HHTP. Actuellement, les sites destinés à la sécurisation des communications sont équipés du protocole TLS (Transport Layer Security). La faille découverte est importante et pourrait également être présente au sein du protocole TLS.

Il est donc demandé aux webmasters de vérifier leurs sites HTTPS. Des chercheurs viennent de mettre en évidence que cette vulnérabilité affectait aussi des mises en oeuvre du nouveau protocole TLS (Transport Layer Security). Poodle (Padding Oracle On Downgraded Legacy Encryption) va ainsi permettre à des attaquants de déchiffrer des informations sensibles s’ils parviennent à intercepter le trafic entre un navigateur web et un site https.

Ivan Ristic, l’un des responsables de la société de sécurité Qualys a montré que la faille était également présente au sein des mises en oeuvre de TLS. Il indique que 10% des serveurs gérés par le projet SSL Pulse sont vulnérables aux attaques POODLE à travers TLS. Les webmasters qui avaient corrigé leurs sites suite à la découverte de la première faille devront donc à nouveau tester leur vulnérabilité à cette nouvelle variante de POODLE.



Ailleurs sur le web


Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *