20141016 - Poodle : une faille de sécurité touchant le protocole SSLv3
Découverte par 3 Googlers et rendue public hier, Poodle (Padding Oracle on Downgraded Legacy Encryption) est une nouvelle faille de sécurité rendant SSLv3 vulnérable aux attaques de type MITM (Man In The Middle).
SSLv3 est un ancien protocole de chiffrement des données très peu utilisé puisque remplacé depuis plusieurs années par TLS. Cependant il existe encore et peut être sollicité sur d'anciens navigateurs (Internet Explorer 6 par exemple) ou comme roue de secours dans le cas ou une session TLS échouerait.
Qui est concerné ?
Cette faille s'attaque uniquement aux clients et plus particulièrement les clients utilisant un réseau wifi public.
Elle permet à un pirate de récupérer les informations contenues dans les cookies pour se connecter frauduleusement aux différents comptes en ligne de la victime.
Ce qu'il faut faire ?
Désactiver le support SSLv3 de vos serveurs.
Attention cependant : en désactivant SSLv3 vous ne pourrez plus effectuer de connexion SSL avec les navigateurs de plus de 10 ans (IE6 entre autres).