POODLE : une nouvelle faille au sein du protocole SSL !

POODLE : une nouvelle faille au sein du protocole SSL !

Des experts en sécurité de Google viennent de découvrir une faille de sécurité au sein du protocole SSL qui permet de chiffrer des données échangées entre un site Internet et un navigateur, son nom : POODLE.

Publié le 15 octobre 2014 - 15:36 par François Giraud

POODLE : une nouvelle faille de sécurité critique est découverte

Baptisée POODLE, pour Padding Oracle On Downgraded Legacy Encryption, une nouvelle faille de sécurité critique vient d’être découverte par trois ingénieurs de Google. Cette vulnérabilité affecte le protocole SSL qui est utilisé pour chiffrer des échanges de données entre un site Internet et un navigateur.

POODLE, une faille de sécurité critique du SSL 3.0

POODLE, une faille de sécurité critique du SSL 3.0

Le malware se positionne entre la victime et le site Web qu’elle souhaite consulter

Une fois installé, ce malware permet aux personnes malveillantes d’accéder à des données confidentielles en se faisant passer pour la victime. Une faille importante qui peut notamment toucher les serveurs d’une banque. Dans le cas présent, la faille se sert de la troisième version du protocole SSL. Certains sites utilisent encore cette version, qui date de quinze ans et qui sécurise les communications HHTP. Actuellement, les sites destinés à la sécurisation des communications sont équipés du protocole TLS (Transport Layer Security). La faille découverte est importante car elle permet d’accéder à des données chiffrées qui devraient donc être inaccessibles aux pirates. Les sites Web qui utilisent ce protocole ont commencé à réagir. Google préconise diverses solutions pour remédier à cette vulnérabilité.

Comment remédier à cette faille de sécurité ?

La faille POODLE a été dévoilée dans une note de recherche publiée par le projet OpenSSL. La solution à appliquer tout de suite est de désactiver SSL 3.0 (ou SSLv3) afin d’assurer un chiffrement fiable indiquent les ingénieurs de Google. Cette désactivation va entraîner des problèmes de compatibilité pour les sites serveurs. Google invite les utilisateurs à intégrer l’outil TLS_FALLBACK_SCSV  (Transport Layer Security Signalling Cipher Suite Value), pour empêcher les sites Web de passer en SSL 3.0. Google a indiqué que d’ici quelques mois, le support de ce protocole sera supprimé de l’ensemble de ses produits.

Advertisements

Ailleurs sur le web