Blog GlobalSign

16 oct. 2014

La faille Poodle du protocole SSL 3.0

Une nouvelle vulnérabilité dans le protocole SSL 3.0 a été découverte ce mardi 14 octobre 2014. La faille POODLE (anagramme de Padding Oracle Downgraded Legacy Encryption) permet à des individus d'intercepter des informations cruciales dans les communications établies avec les serveurs qui reconnaissent encore SSL 3.0.

En quoi cela consiste-t-il ?

Le problème n'est pas lié aux certificats SSL directement mais à la version du protocole utilisé pour effectuer des transactions chiffrées. Une vulnérabilité a été identifiée dans le protocole de sécurité SSL 3.0 qui permet à des pirates d'accéder à des données personnelles, telles que les mots de passe et les cookies.

Le protocole SSL 3.0, bien que créé il y a 18 ans, est toujours couramment utilisé, et ce, malgré le fait que le protocole TLS, bien plus sûr, existe depuis 15 ans déjà. Afin d'établir un chiffrement sécurisé et de bloquer les attaques visant à forcer l'utilisation d'un protocole moins fiable, SSL 3.0 doit être complètement désactivé.

Que dois-je faire ?

En tant qu'administrateur du serveur, veuillez suivre les instructions suivantes :

1. Vérifiez si votre serveur est configuré pour autoriser les communications à travers le protocole SSL 3.0. Pour cela, lancer la commande OpenSSL suivante :
openssl s_client -ssl3 -connect [host]:[port]

Si SSL 3.0 est désactivé, le message suivant s'affiche :

SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:

2. Désactivez complètement SSL 3.0

3. Activez uniquement les protocoles TLS 1.0 ou les versions ultérieures qui sont plus sûres.

Si vous avez besoin d'aide ou d'instructions pour désactiver SSL 3.0 dans les serveurs les plus utilisés, veuillez vous référer à l'un des liens suivants :

Apache: http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
Nginx: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
IIS: http://support2.microsoft.com/kb/187498

Les utilisateurs de sites web devraient également configurer leurs navigateurs de manière à désactiver les communications utilisant le protocole SSL 3.0. Suivez attentivement les dernières informations rendues publiques à ce sujet par les concepteurs de navigateurs et assurez-vous de mettre à niveau vos navigateurs lorsqu’une nouvelle version est disponible.

A propos des systèmes GlobalSign


SSL 3.0 a été désactivé aussi bien sur nos sites web que sur notre plate-forme utilisateur. Si vous rencontrez des difficultés à accéder à l'un de ces sites, veuillez utiliser un navigateur qui reconnaît le protocole TLS 1.0.

Références:

This POODLE Bites: Exploiting The SSL 3.0 Fallback 
Avis de sécurité Microsoft 3009008

Partager ce blog