Protocole SSL V3 : une nouvelle faille de sécurité découverte
Les environnements Linux et Windows sont impactés
La nuit du 14 octobre 2014, une équipe de chercheurs travaillant chez Google ont découvert, une faille nouvelle de sécurité dans le protocole SSL v3. Cette faille étant au niveau du protocole, elle n’est pas simple à corriger d’autant plus que l’ensemble des implémentations (autant sous Linux que sous Windows) sont impactées.
Cette faille nommée POODLE (Padding Oracle On Downgraded) permet à des hackers de récupérer des informations et de décrypter les données des utilisateurs qui se connectent.
La méthode qui est utilisée dans cette attaque est le « man in the middle », qui pour but d’intercepter des messages et données entre deux individus. Le hacker va exploiter une faille chez le fournisseur d’accès internet de l’individu ou va alors exploiter un faux point d’accès WI-FI.
Désactivation du protocole SSL v3
L’action corrective recommandée est de désactiver SSLv3 totalement sur les clients et serveurs supportant encore ce protocole. SSLv3 est un ancien protocole qui n’est utilisé que sur moins de 1% des échanges sécurisés sur Internet. Les versions plus récentes TLS1.1 et TLS1.2 sont généralement utilisées.
La plupart des logiciels ne supportent encore SSLv3 que pour des raisons de rétrocompatibilité. Nous sommes en train de désactiver SSLv3 sur l’ensemble des serveurs de nos plateformes et de celles de nos clients. Nous vous recommandons vivement de faire de même sur les services dont vous avez la gestion.
Il est également préférable de désactiver SSLv3 au niveau des applications (navigateurs internet, client mail…). Malheureusement cela n’est pas toujours possible.
Autres information sur le protocole SSL v3
Contactez-nous pour plus d’information à ce sujet et pour réaliser un audit de sécurité si vous pensez que votre système est touché.
Vous pouvez également consultez le blog de Mozilla concernant cette faille ou encore les sites d’Open SSL et Google Online Security (en anglais).