SSL 3.0 : découverte d’une vulnérabilité critique

Même si SSL 3.0 n’est presque plus utilisé, ce protocole représente une menace depuis la découverte d’une vulnérabilité critique.

Google a détecté une faille majeure dans SSL 3.0
Google a détecté une faille majeure dans SSL 3.0

Ce sont trois ingénieurs en sécurité de Google qui viennent de découvrir une vulnérabilité critique dans SSL 3.0. En provoquant une erreur sur le TLS et en contraignant le basculement sur SSL 3.0, cette faille peut être exploitée par le biais d’une attaque Man-In-The-Middle.

Âgé de plus de 15 ans, le protocole SSL 3.0 n’est presque plus utilisé, ce protocole reste supporté en support à TLS en cas d’erreur sur un échange. De fait, selon les ingénieurs de Google, il suffit que l’attaquant provoque une erreur dans TLS pour pouvoir exploiter cette faille.

Cette vulnérabilité serait d’autant plus critique que ces mêmes experts estiment qu’elle ne peut pas être corrigée. Dès lors, que faire ?

La tentation serait de désactiver SSL 3.0, ce qui pourrait entrainer des problèmes de compatibilité pour les sites et serveurs. Au lieu de faire cela, la solution recommandée pour les administrateurs est d’ajouter le support de TLS_FALLBACK_SCSV, un protocole bloquant la possibilité de contraindre un navigateur à basculer sur SSL 3.0, ou TLS 1.0 et 1.1.

Au niveau des navigateurs, Microsoft et Apple n’ont pas encore réagi alors que Mozilla annonce un correctif dans six semaines, avec la version 34 de Firefox. Pour ce qui est de Chrome, il suffit de lui donner le paramètre « –ssl-version-min=tls » pour désactiver SSL 3.0. Il est bon de préciser que cette désactivation pourrait entrainer quelques désagréments sur certains services.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentDécouverte d’une superbe mosaïque dans le mystérieux tombeau d’Amphipolis
Article suivantEst-ce que Angry Birds Transformers va relancer Rovio ?

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here