Sans être aussi grave qu’Heartbleed, Poodle est une nouvelle faille qui touche le protocole SSL. Cette vulnérabilité menace directement l’e-commerce et l’e-banking.
Le protocole SSL 3.0 n’est pas tout jeune, « il aurait dû être abandonné depuis au moins dix ans » estiment certains experts en sécurité. Dans la réalité, il est encore très utilisé, notamment pour les sites d’-e-commerce et d’e-banking.
Poodle, pour Padding Oracle on Downgraded Legacy Encryption, a été découvert par trois ingénieurs en sécurité de Google. Mais comme poodle signifie caniche en anglais, c’est pour cette raison que cette faille est associée à l’image de ce chien.
Grâce à cette faille, une personne mal intentionnée pourrait détourner et déchiffrer le cookie stocké par le navigateur pour vous identifier, ce qui lui permettrait de prendre le contrôle de vos comptes sans avoir besoin du mot de passe, que cela soit pour des sites d’e-commerce ou d’e-banking, mais aussi des systèmes de messagerie. Le point rassurant de cette vulnérabilité est que l’attaquant doit être sur le même réseau que sa cible, ce qui évite qu’un pirate en Russie ou en Chine puisse utiliser Poodle contre nous. Toutefois, dans des lieux publics couverts par un Hotspot, le risque est bel et bien réel.
Par exemple, hormis la Caisse d’Epargne, tous les sites d’e-banking français sont vulnérables selon des tests réalisés par SSL Labs. On notera que des sites tels que Twitter et Facebook ont déjà fait le nécessaire pour se prémunir de cette faille, une démarche que de nombreux sites doivent également faire.
Si la majorité des sites internet utilisent des protocoles plus récents, ne conservant le SSL 3.0 que pour une question de compatibilité avec les anciens navigateurs ou en cas de secours lorsque le protocole récent n’arrive pas dialoguer, le hic est que certains sites n’utilisent que ce protocole vétuste, un problème qui touche directement Atos, un intermédiaire pour les paiements en ligne. Si les sites de vente suivent les recommandations de sécurité et désactive SSL 3.0, ils ne pourront plus communiquer avec Atos, donc plus obtenir de confirmation de paiement ! De fait, Poodle va créer un joli capharnaüm dans les sites d’e-commerce, notamment en France.