2Sep
Il est difficile de comprendre toutes ces catastrophes sur Internet à mesure qu'elles surviennent, et tout comme nous pensions qu'Internet était de nouveau sécurisé après que Heartbleed et Shellshock aient menacé de «mettre fin à la vie telle que nous la connaissons», POODLE.
Ne t'énerve pas trop car ce n'est pas aussi menaçant que ça en a l'air. La vérité est qu'il s'agit d'un problème, mais il y a des mesures simples que vous pouvez prendre pour vous protéger.
Qu'est-ce que POODLE?
Commençons au rez-de-chaussée. Qu'est-ce que POODLE?Tout d'abord, il signifie « Padding Oracle sur Legacy Encryption Legacy». Le problème de sécurité est exactement ce que son nom l'indique, une rétrogradation de protocole qui permet des exploits sur une forme de cryptage obsolète. Le problème a attiré l'attention du monde entier ce mois-ci, lorsque Google a publié un article intitulé «This POODLE Bites: Exploiting the SSL 3.0 Fallback».
Pour expliquer cela en termes simples, si un attaquant utilisant une attaque Man-In-The-Middle peut prendre le contrôle d'un routeur sur un hotspot public, il peut forcer votre navigateur à revenir à SSL 3.0( un protocole plus ancien) au lieu d'utiliserTLS( Transport Layer Security) beaucoup plus moderne, puis exploiter un trou de sécurité dans SSL pour pirater les sessions de votre navigateur. Puisque ce problème est dans le protocole, tout ce qui utilise SSL est affecté.
Tant que le serveur et le client( navigateur Web) prennent en charge SSL 3.0, l'attaquant peut forcer une rétrogradation dans le protocole, donc même si votre navigateur tente d'utiliser TLS, il finit par être forcé d'utiliser SSL à la place. La seule réponse est pour chaque côté ou les deux côtés de supprimer le support pour SSL, supprimant la possibilité d'être rétrogradé.
Si vous naviguez principalement de la maison et n'utilisez pas les hotspots publics, le potentiel de dommages est assez faible, et vous pouvez simplement prendre les mesures faciles décrites plus loin dans l'article pour vous protéger. Si vous utilisez souvent un hotspot public, il est peut-être temps d'envisager l'utilisation d'un VPN.
Comment pouvons-nous résoudre le problème?
Puisqu'il n'y a aucun moyen de résoudre les problèmes avec SSL, la seule solution est que les créateurs de navigateurs et les serveurs Web mettent à niveau tout pour supprimer le support SSL et n'exigent que le cryptage TLS.
Google et Firefox ont déjà annoncé qu'ils supprimeront le support à l'avenir, et même si nous n'avons pas( encore) entendu la même chose de la part de Microsoft, il est extrêmement facile, en tant qu'utilisateur final, de désactiver SSL 3.0 dans IE.La plupart des grandes entreprises Web suppriment le support de SSL après la découverte de ce problème, mais cela prendra du temps à tout le monde.
En tant que consommateur, vous pouvez supprimer le support de SSL de votre navigateur en utilisant l'une des méthodes décrites ci-dessous - ou si vous utilisez Firefox ou Google Chrome et n'utilisez pas les hotspots tout le temps, vous pouvez attendre qu'ils mettent à jour le navigateur. Ou vous pouvez vous assurer que vous avez résolu le problème vous-même.
Désactivation de SSL 3.0 dans Mozilla Firefox
Si vous êtes un utilisateur de Mozilla Firefox, vos problèmes SSL 3.0 seront mis à jour le 25 novembre 2014 lorsque Fireox 34 sera disponible. Le seul problème avec ceci est que ce n'est pas encore Novembre et vous devez prendre des mesures pour vous protéger maintenant. Commencez par ouvrir votre navigateur Firefox et naviguez jusqu'à la page de téléchargement SSL Version Control dans Firefox.
Une fois l'installation réussie, vous pouvez saisir "about: addons" dans la barre de navigation et sélectionner l'extension "SSL Version Control".Vous pouvez cliquer sur "Options" pour voir les paramètres de l'extension. Assurez-vous que les "Mises à jour automatiques" sont activées et que la "Version SSL minimale" est définie sur "TLS 1.0"
Après la sortie de Firefox 34, vous pouvez désactiver l'extension ou la désinstaller.
Désactivation de SSL 3.0 dans Google Chrome
Si vous êtes un utilisateur de Google Chrome, vous pouvez être assuré que le protocole SSL 3.0 sera désactivé dans les mois à venir, même s'il n'a pas encore défini de date. Si vous voulez vous protéger maintenant, cela peut être fait en quelques étapes simples. Accédez simplement à l'icône de votre bureau Google Chrome et faites un clic droit dessus, puis sélectionnez "Propriétés" au bas du menu contextuel.
Dans la fenêtre "Propriétés" vous verrez une boîte de saisie de texte qui indique "Cible". Cliquez simplement dans cette case et appuyez sur le bouton "Fin" de votre clavier. Ensuite, appuyez sur la "barre d'espace" et copiez et collez ce texte sur la fin.
--ssl-version-min = tls1Appuyez sur "Appliquer" puis cliquez sur "Continuer" dans la fenêtre, puis appuyez sur "OK".
Maintenant votre navigateur rejettera automatiquement les certificats SSL 3.0 et n'acceptera que TLS 1.0 et supérieur. Il est à noter que si vous lancez Chrome via un autre raccourci sur votre ordinateur, il n'utilisera pas ce drapeau.
Désactivation de SSL 3.0 dans Internet Explorer
Microsoft n'a pas encore annoncé quand il envisage de résoudre le problème SSL 3.0. Il est donc préférable de le désactiver en ouvrant votre menu "Démarrer" et en tapant "Options Internet".
Cliquez sur l'onglet "Avancé" et descendez jusqu'à la section "Sécurité" jusqu'à ce que vous voyiez les options SSL et TLS, puis décochez l'option Utiliser SSL 3.0 et activez plutôt TLS.
De cette façon, vous pouvez être sûr que vos navigateurs Internet sont tous sécurisés contre toute attaque POODLE potentielle.
Crédit d'image: Karen sur Flickr