On pensait le problème réglé. Eh bien non : la faille « Poodle » (caniche en anglais) revient par la petite porte. Découverte en octobre dernier, elle permettait de casser le chiffrement des connexions SSL/TLS en rétrogradant le protocole vers une version désuète (v3) qui utilise un mécanisme cryptographique trop faible (CBC, Cipher Block Chain). La solution était toute trouvée : il faut bannir SSLv3 ! Ce que Chrome et Firefox ont d’ailleurs plus ou moins fait depuis. Désormais, les connexions sécurisées se font donc avec les versions récentes du protocole SSL/TLS qui, pensait-on, ne sont pas vulnérables à cette attaque. Que nenni !
Adam Langley, un chercheur en sécurité chez Google, vient de découvrir que certaines implémentations de SSL/TLS sont mal faites et s’appuient bizarrement sur des mécanismes cryptographiques de SSLv3. Et du coup, le caniche est de retour. Une alerte de sécurité a été émise (CVE-2014-8730). Le chercheur a découvert au moins deux marques d’infrastructures web qui sont vulnérables, à savoir F5 Networks et A10 Networks, qui sont assez répandues dans les datacenters. Selon Qualys, 10 % des sites web seraient actuellement vulnérables à cette nouvelle mouture de l’attaque Poodle.
Côté utilisateurs, on ne peut rien faire pour contrer cette faille. C’est aux administrateurs web de s’activer. La bonne nouvelle, c’est que F5 et A10 ont d’ores et déjà publié des patches. Si vous avez un doute sur le niveau de sécurité d’un site web, sachez que Qualys propose un test en ligne complet. Si le résultat n’est pas bon, un petit mail au webmaster ne peut jamais faire de mal.
Lire aussi :
Une nouvelle faille dans SSL permet de déchiffrer le trafic web, le 15/10/2014
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.