Quelle est la vulnérabilité de POODLE et comment vous protéger?
Il est difficile de cerner toutes ces catastrophes Internet lorsqu'elles se produisent, et juste comme nous pensions qu'Internet était à nouveau sécurisé après que Heartbleed et Shellshock aient menacé de «mettre fin à la vie telle que nous la connaissons», POODLE.
Ne vous énervez pas, car ce n'est pas aussi menaçant que cela puisse paraître. La vérité est que c’est une question qui mérite notre attention, mais vous pouvez prendre des mesures simples pour vous protéger..
Qu'est-ce que POODLE??
Commençons par le rez-de-chaussée. Qu'est-ce que POODLE? Tout d’abord, cela signifie «Padding Oracle sur un chiffrement hérité dégradé.«Le problème de sécurité est exactement ce que son nom suggère, une rétrogradation de protocole qui permet d'exploiter une forme de cryptage obsolète. Le problème a attiré l'attention du monde entier ce mois-ci lorsque Google a publié un article intitulé «This POODLE Bites: Exploiter la solution de secours SSL 3.0»..
Pour expliquer cela plus simplement, si un attaquant utilisant une attaque Man-In-The-Middle peut prendre le contrôle d'un routeur sur un hotspot public, il peut forcer votre navigateur à rétrograder à SSL 3.0 (un protocole plus ancien) au lieu d'utiliser la TLS (Transport Layer Security) beaucoup plus moderne, puis exploitez une faille de sécurité dans SSL pour détourner vos sessions de navigateur. Puisque ce problème est dans le protocole, tout ce qui utilise SSL est affecté.
Tant que le serveur et le client (navigateur Web) prennent en charge SSL 3.0, l'attaquant peut forcer une rétrogradation du protocole. Ainsi, même si votre navigateur essaie d'utiliser TLS, il est contraint d'utiliser SSL à la place. La seule solution est que les deux côtés ou les deux parties suppriment la prise en charge de SSL, éliminant ainsi le risque de rétrogradation..
Si vous naviguez principalement depuis votre domicile et n'utilisez pas de points d'accès publics, le risque de dommages est assez faible et vous pouvez simplement prendre les mesures simples décrites plus loin dans l'article pour vous protéger. Si vous utilisez souvent un hotspot public, il est peut-être temps d’envisager l’utilisation d’un VPN..
Comment pouvons-nous résoudre le problème?
Puisqu'il n'y a aucun moyen de résoudre les problèmes liés à SSL, la seule solution consiste pour les fabricants de navigateurs et les serveurs Web à mettre à niveau tout ce qui est disponible pour supprimer la prise en charge de SSL et n'exiger que le chiffrement TLS..
Google et Firefox ont déjà annoncé leur intention de supprimer le support dans le futur. Même si Microsoft n'a pas (encore) entendu la même chose de Microsoft, il est extrêmement facile, en tant qu'utilisateur final, de désactiver SSL 3.0 dans IE. La plupart des grandes entreprises Web suppriment la prise en charge de SSL après la découverte de ce problème, mais tout le monde mettra du temps à le faire..
En tant que consommateur, vous pouvez supprimer la prise en charge de SSL de votre navigateur à l’aide d’une des méthodes décrites ci-dessous. Si vous utilisez Firefox ou Google Chrome et n’utilisez pas les points chauds de manière permanente, vous pouvez attendre qu’ils mettent à jour le navigateur. Ou vous pouvez vous assurer que vous avez résolu le problème vous-même.
Désactivation de SSL 3.0 dans Mozilla Firefox
Si vous êtes un utilisateur de Mozilla Firefox, vos problèmes avec SSL 3.0 seront réglés le 25 novembre 2014, dès la publication de Fireox 34. Le seul problème avec ceci est que nous ne sommes pas encore en novembre et que vous devez agir dès maintenant pour vous protéger. Commencez par ouvrir votre navigateur Firefox et accédez à la page de téléchargement de SSL Version Control dans Firefox..
Une fois l'installation réussie, vous pouvez entrer «about: addons» dans la barre de navigation et sélectionner l'extension «SSL Version Control». Vous pouvez cliquer sur «Options» pour voir les paramètres de l'extension. Assurez-vous que les «Mises à jour automatiques» sont activées et que la «Version SSL minimale» est définie sur «TLS 1.0».
Après la publication de Firefox 34, vous pouvez désactiver l’extension ou la désinstaller..
Désactiver SSL 3.0 dans Google Chrome
Si vous êtes un utilisateur de Google Chrome, vous pouvez être assuré que SSL 3.0 sera désactivé dans les mois à venir, bien qu’ils n’aient pas encore défini de date. Si vous voulez vous protéger maintenant, vous pouvez le faire en quelques étapes simples. Il suffit d’aller sur l’icône de votre bureau Google Chrome et de cliquer dessus avec le bouton droit de la souris, puis de sélectionner «Propriétés» au bas du menu contextuel..
Dans la fenêtre «Propriétés», vous verrez une zone de saisie de texte indiquant «Cible». Cliquez simplement dans cette zone et appuyez sur le bouton «Fin» de votre clavier. Ensuite, appuyez sur la barre d’espace, puis copiez et collez ce texte à la fin..
--ssl-version-min = tls1
Appuyez sur «Appliquer» puis cliquez sur «Continuer» dans la fenêtre contextuelle, puis appuyez sur «OK».
Désormais, votre navigateur rejettera automatiquement les certificats SSL 3.0 et n'acceptera que TLS 1.0 et versions ultérieures. Il est à noter que si vous lancez Chrome via un autre raccourci sur votre ordinateur, il n'utilisera pas cet indicateur..
Désactivation de SSL 3.0 dans Internet Explorer
Microsoft n'a pas encore annoncé son intention de résoudre le problème SSL 3.0. Il est donc préférable de le désactiver vous-même en ouvrant votre menu "Démarrer" et en tapant "Options Internet".
Allez à l'onglet «Avancé» et faites défiler jusqu'à la section «Sécurité» jusqu'à ce que les options SSL et TLS apparaissent, puis décochez l'option pour Utiliser SSL 3.0 et activez plutôt TLS..
De cette façon, vous pouvez être sûr que vos navigateurs Internet sont tous sécurisés contre les attaques potentielles de POODLE..
Crédit d'image: Karen sur Flickr