IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les ingénieurs de Google mettent au point une attaque qui sonne définitivement le glas pour SSLv3


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut Les ingénieurs de Google mettent au point une attaque qui sonne définitivement le glas pour SSLv3
    POODLE : les ingénieurs de Google découvrent une faille critique dans SSLv3
    Mozilla annonce la fin du support du protocole dans Firefox 34

    Les ingénieurs de Google viennent de remettre sur la scène le protocole SSLv3 vieux de 15 ans, à travers une attaque baptisée POODLE (Padding Oracle On Downgraded Legacy Encryption). Cette attaque exploite les faiblesses de SSLv3 pour permettre l’accès aux informations telles que le mot de passe et le cookie de connexion d’une victime sur un canal de communication sécurisée avec SSL, établi entre le serveur et le navigateur client.

    Le protocole est vieux de 15 ans et de nouveaux standards plus robustes ont vu le jour. De quoi devrait-on avoir peur ? Question légitime. Cependant, il faut rappeler que les navigateurs actuels aussi bien que les serveurs prennent toujours en charge le protocole SSLv3.

    Pourquoi ? Tout simplement par souci de rétrocompatibilité avec des navigateurs anciens comme IE6, qui ne prennent pas en charge les nouveaux standards plus robustes.

    En pratique, lorsqu’un navigateur client initie une connexion sécurisée avec un serveur, il propose le protocole de chiffrement le plus robuste à sa connaissance, à utiliser conjointement avec le serveur.

    Cependant, si pour une raison quelconque l’établissement de la connexion sécurisée échoue, le client initie à nouveau une connexion sécurisée. Cependant, le protocole de chiffrement qu’il propose au serveur est plus vulnérable que le précédent.

    Le processus se répète chaque fois que l’établissement de la connexion au serveur échoue. POODLE tire parti de ce mécanisme pour forcer le navigateur d’un utilisateur à utiliser le standard SSLv3, qui permet au hacker d’entrer par la suite en possession des informations sensibles de l’utilisateur.

    Comment se protéger de cette attaque ? En premier lieu, il faut utiliser des navigateurs récents qui prennent en charge les nouveaux standards. Pour les navigateurs actuels, il faut désactiver la prise en charge du SSLv3.

    Mozilla annonce que la prise en charge du SSLv3 sera désactivée par défaut dans Firefox 34 qui sortira le 25 novembre. Les versions Bêta et Aurora intègreront cette fonctionnalité dans les semaines à venir.

    Pour les impatients, le plugin SSL Version Control de Firefox va permettre à leur navigateur actuel de désactiver automatiquement SSLv3.

    De plus, pour empêcher les navigateurs d’utiliser les protocoles vulnérables chaque fois que l’établissement de la connexion sécurisée échoue, Firefox 34 va intégrer un plugin de protection générique basé sur les mécanismes de protection recommandé dans un « draft » publié sur le site ietf.

    Sources: Blog Google, Blog Mozilla, Rapport pdf POODLE

    Et vous ?

    Est-il temps d’abandonner définitivement SSLv3 ?

  2. #2
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    mai 2004
    Messages
    2 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 2 251
    Points : 6 517
    Points
    6 517
    Par défaut
    procédure :
    In Firefox you can go into about:config and set security.tls.version.min to 1.
    A voir comment ca réagira quand la valeur sslv3 disparaitra.

  3. #3
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut
    POODLE: Apple mettra fin au support de SSLv3 le 29 novembre pour son service « Apple Push Notification »
    les développeurs invités à utiliser TLS

    Le monde de la sécurité informatique a été secoué ces derniers temps par POODLE, une vulnérabilité critique du protocole SSLv3, qui permet à un hacker d’entrer en possession d’informations sensibles d’une victime, comme les mots de passe ou encore les cookies de connexion.

    Mozilla, Twitter et bien d’autres ont pris toutes les mesures nécessaires pour éviter que leurs utilisateurs soient à la merci des pirates. Apple vient d’emboîter le pas à ceux-ci, avec son célèbre service de notifications : Apple Push Notification.

    La firme de Cupertino a à cœur la sécurité de ses utilisateurs. Ainsi, à compter du 29 novembre 2014, le service de notifications d’Apple ne prendra plus en charge le protocole SSLv3.

    Apple invite les développeurs à utiliser des standards de chiffrement plus robustes à l’instar de TLS, sous peine de voir Apple Push Notification ne plus fonctionner correctement, ou voire pas du tout pour leurs applications.

    Apple a d’ores et déjà désactivé le support de SSLv3 de l’interface de communication du service de notifications pour l’environnement de développement. De ce fait, les développeurs peuvent déjà tester la compatibilité de leurs applications avec la mise à jour du service en attendant le 29 novembre.

    Source: Apple

    Et vous ?

    Que faites-vous pour vous protéger contre POODLE ?

  4. #4
    Membre extrêmement actif Avatar de Jon Shannow
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2011
    Messages
    3 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2011
    Messages : 3 785
    Points : 7 470
    Points
    7 470
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    La firme de Cupertino a à cœur la sécurité le porte-feuille de ses utilisateurs.
    Corrigé !
    Au nom du pèze, du fisc et du St Estephe
    Au nom du fric, on baisse son froc...

  5. #5
    Candidat au Club
    Homme Profil pro
    Développeur .NET
    Inscrit en
    mars 2011
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 1
    Points : 3
    Points
    3
    Par défaut
    Que faites-vous pour vous protéger contre POODLE ?
    J'ai pris un pit bull !

  6. #6
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut
    POODLE : Microsoft publie un correctif pour désactiver SSL 3 dans IE
    le support du protocole supprimé dans Office 365 et Azure à partir du 1er décembre

    Microsoft vient de publier un utilitaire qui permet en un seul clic de désactiver SSL 3 dans toutes versions supportées du navigateur Internet Explorer.

    L’utilitaire « Fix It » est une solution temporaire qui fonctionne également avec IE6, bien que cette version ne soit plus supportée. « Si vous utilisez des anciennes versions d’Internet Explorer à l’instar d’IE 6, nous vous recommandons d’utiliser un navigateur plus récent dès que possible en plus du correctif que nous avons publié aujourd’hui », conseille la firme dans un billet de blog.

    Microsoft envisage de publier dans les prochains mois (probablement via le patch tueday) une mise à jour qui permettra de désactiver par défaut SSL 3 dans Internet Explorer. À partir du 1er décembre 2014, Microsoft procédera à la désactivation de SSL 3 sur ses services en ligne, dont Office 365 et les services Cloud d’Azure.

    La désactivation de SSL 3 dans Internet Explorer fait suite la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) découverte par des ingénieurs de Google. Cette faille permet l’accès aux données telles que le mot de passe et le cookie de connexion d’une victime sur un canal de communication sécurisée avec SSL, établi entre le serveur et le navigateur client.

    SSL 3 est un protocole de sécurisation des échanges sur internet. Il date de près de 18 ans, et la découverte de cette faille a sonné le glas de sa fin. Plusieurs acteurs de l’industrie de l’IT ont commencé à procéder à la suppression du support du protocole dans leurs produits.

    Dans ce registre, on peut citer notamment Google, qui avait procédé à des modifications dans son navigateur Chrome pour désactiver la prise en charge de SSL 3. La firme envisage dans les prochains mois de retirer complètement le support du protocole dans l’ensemble de ses produits.

    Mozilla avait également annoncé que la prise en charge de SSL 3 sera désactivée par défaut dans Firefox 34, qui sortira le 25 novembre. Pour les anciennes versions du navigateur, la firme a publié un plugin (SSL Version Control) permettant de désactiver automatiquement le support de SSL 3.


    Source : Microsoft
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  7. #7
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 482
    Points : 78 537
    Points
    78 537
    Billets dans le blog
    2
    Par défaut Une nouvelle version de la faille POODLE affecte cette fois le protocole TLS
    Une nouvelle version de la faille POODLE affecte cette fois le protocole TLS
    10% des sites web les plus populaires sont vulnérables

    Des ingénieurs de Google ont découvert, il y a environ deux mois, une faille baptisée POODLE, qui a affecté le protocole vieillissant SSLv3. Cette faille a permis à des pirates de mener des attaques de l’Homme Du Milieu (HDM). Il s’agit d’une forme de piratage visant à intercepter le trafic entre le navigateur d'un utilisateur et un site HTTPS pour déchiffrer des informations sensibles, comme les cookies d'authentification de l'utilisateur. Suite à la divulgation de cette information, certains éditeurs de navigateurs ont supprimé le support SSL définitivement de leurs navigateurs.

    Cependant, ces mesures préventives n'ont pas fait disparaître la vulnérabilité des sites. En effet, les mêmes chercheurs viennent de réaliser que cette faille pourrait aussi affecter les implémentations du protocole TLS, jusque-là, supposé pouvoir contrecarrer l'attaque. La faille POODLE a été redirigée vers TLS et sa mise en œuvre semble beaucoup plus simple.

    « L'impact de ce problème est similaire à celui de POODLE, avec l'attaque étant légèrement plus facile à exécuter, pas besoin de déclasser les clients modernes jusqu'à SSL 3 d'abord, TLS 1.2 fera très bien l’affaire, » a écrit Ivan Ristic, directeur de la sécurité chez Qualys, dans un billet de blog intitulé « POODLE mord TLS ». « Les cibles principales sont les navigateurs, parce que l'attaquant doit injecter un JavaScript malveillant pour lancer l'attaque. Une attaque réussie utilisera environ 256 demandes pour déchiffrer un caractère de cookie ou seulement 4096 demandes pour un cookie de 16 caractères. Cela rend l'attaque tout à fait pratique.»

    Les webmestres qui avaient corrigé leurs sites suite à la découverte de la première faille devront donc à nouveau tester leur vulnérabilité à cette nouvelle variante de POODLE. En effet, plusieurs sites web sont probablement vulnérables à cause de l’utilisation de certains produits affectés.

    Adam Langley, chercheur en sécurité de Google, a mis en place un outil qui permet de détecter les produits affectés. Ce dernier a découvert que les répartiteurs de charges F5 et A10 sont affectés, mais qu’ils pourraient ne pas être les seuls produits concernés : « Je ne suis pas tout à fait sûr d'avoir trouvé tous les fournisseurs affectés, mais maintenant que le problème est rendu public, tout autre produit affecté sera rapidement détecté », a-t-il précisé dans un billet de blog.

    La firme de sécurité Qualys a mis en place SSL Server test, un test gratuit qui permet de tester la vulnérabilité des sites web à cette nouvelle variante de POODLE. Le test a montré que 10% des sites les plus visités, y compris ceux détenus ou exploités par Bank of America, VMare, le département US des Vétérans et Accenture, sont vulnérables. Les produits F5 étant pointés du doigt à cause de leur popularité, F5 vient de publier des correctifs pour ses produits.


    Source : Qualys Blog

    Et vous ?

    Après la suppression de SSLv3, quelles pourraient être les mesures de protection contre la nouvelle version de la faille POODLE ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 14
    Dernier message: 07/03/2015, 14h22
  2. Réponses: 13
    Dernier message: 30/10/2014, 17h37
  3. Réponses: 1
    Dernier message: 15/10/2014, 12h52
  4. Des chercheurs mettent au point une méthode pour déchiffrer une clé RSA
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 25
    Dernier message: 15/01/2014, 16h13
  5. Réponses: 73
    Dernier message: 13/07/2012, 15h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo