Google a trouvé une vulnérabilité dans le cryptage SSL !

faille de sécurité

Bofo Mömmer, Thai Duong et Krzysztof Kotowicz, chercheurs en sécurité chez Google sont formels : il est plus que temps d'abandonner le protocole SSL 3.0. Il s'agit d'une version datant déjà de 18 ans, mais encore malgré tout particulièrement utilisée. Tout le problème étant qu'elle abrite une faille des plus critiques.

Le protocole en question est utilisé pour sécuriser les connexions aux sites Web. Nommée de façon barbare CVE-2014-3566, la faille est sans commune mesure en comparaison de Shellshock ou Heartbleed, mais elle représente une menace qualifiée de majeure.

En effet, en exploitant par exemple un point WiFi, un hacker pourrait facilement obtenir des données que l’usager pense en sécurité. En somme, ce protocole SSL est une clé cryptographique qui permet au navigateur et au serveur de savoir mutuellement qui ils sont et s’ils peuvent ou non travailler main dans la main.

Concrètement, c’est une poignée de main numérique secrète qui maintient vos informations financières en sécurité lorsque vous effectuez un paiement. Or, à cause de cette faille, nous sommes face à l’attaque de l’homme du milieu, pus couramment appelée HDM, ils peuvent récupérer vos données sensibles (comme des mots de passe ou cookies de session) et accéder à des services en ligne sécurisés aussi longtemps que vous ne vous déconnectez pas.

Y-a-t-il de quoi paniquer ? La vulnérabilité réside uniquement dans la version 3.0 du protocole SSL, des protocoles plus évolués existent depuis lors, mais ils autorisent une rétrocompatibilité. C’est le cas notamment des navigateurs web, qui se rabattent sur SSL 3.0 lorsqu’il rencontrent des problèmes de connexion avec des serveurs HTTPS. Un pirate chevronné pourrait alors forcer quelques erreurs de connexion pour profiter de la faille de sécurité.

Désactiver le support de SSL 3.0 suffit à résoudre le problème, dans Chrome avec la commande –ssl-version-min=tls1. Dans Firefox, il faut mettre à 1 la valeur correspondant à security.tls.version.min.

Tags :Sources :googleonlinesecurity
Dernières Questions sur UberGizmo Help
  1. Qu’est ce qu’il y a de difficile à écrire C H I F F R E M E N T !!! bon sang.

    le reste… je passe l’éponge, il y a bien trop de bêtises et contresens à corriger, je laisse la main aux suivants.

    1. Le mot chiffrement fait partie d’un autre siècle, le mot cryptage a été ajouté aux dictionnaires français récemment.
      C’est comme pour « courriel », il n’y a que dans les administrations et dans les services des armées où il encore prononcé. Faut se mettre à la page, et il y a des choses bien plus importantes à dénoncer !

  2. En fait, surtout la fin… remplacer SSL v3.0 par TLS v1.0 est une ineptie ! TLS v1.0 est bien plus ouvert que SSL v3.0 – Tant est si bien que dans notre entreprise nous forçons nos sites à ne pas utiliser TLS v1.0….

    Merci de ne pas diffuser des information absurdes !

    1. Ah .. première nouvelle…
      En tous les cas y’en a un qu’on recommande de désactiver parce qu’il y a une vulnérabilité dans le protocole, et pas l’autre…
      Je veux bien une explication plus en profondeur de votre position…

  3. Homme du milieu ?? HDM ?? Non non ça existe pas le terme en français et ça serait plutôt une attaque proxy en français. C’est une attaque Man In The Middle. Faut arrêter de faire des articles avec Google translate

  4. Vous savez bien que mises à part les voix du seigneur rien n’est impénétrable. On finit toujours par trouver une faille. Le truc c’est le temps, toujours être à l’affût de la dernière technologie qui saura vous protéger jusqu’à la suivante. Et même en faisant ça on ne peut être sur de rien…

  5. Un beau jour les vrai journalistes ou supposés tels utiliseront des mots avec leur VÉRITABLE sens un jour …
    Dans le cas précité il ne parle pas de hacker mais de PIRATE et ce n’est malheureusement pas le seul abus de language.

  6. Vous êtes un peu dur, effectivement, l’article semble avoir été écris par qqun qui n’est pas dans le milieu. Vous êtes tous sans doute très fort en terme de vocabulaire informatique mais le plus important c’est que l’information soit diffusée non? Tous le monde n’a pas vos connaissances.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité