Advertisement
Tesla est impliqué dans un accident mortel d'un véhicule dont la conduite autonome a été activée.

L'Image du jour

Tesla est impliqué dans un accident mortel d'un véhicule dont la conduite autonome a été activée.

French Tech : Effet pschitt ou vrai accélérateur

Dernier Dossier

French Tech : Effet pschitt ou vrai accélérateur

De la French Touch à la French Tech, c'est le message que Bpifrance a souhaité faire passer aux 30 000 visiteurs (startups, entrepreneurs, PME, ETI, g...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

La faille Poodle touche cette fois le protocole TLS

Dans un billet, Adam Langley, chercheur en sécurité de Google, montre que la faille Poodle touche aussi le protocole TLS.  (crédit : IDGNS Boston)

Dans un billet, Adam Langley, chercheur en sécurité de Google, montre que la faille Poodle touche aussi le protocole TLS. (crédit : IDGNS Boston)

Décrite en octobre par des ingénieurs de Google, la faille Poodle découverte dans l'ancien protocole SSL 3.0 s'étend en fait au nouveau protocole TLS. Les webmasters doivent effectuer des vérifications sur leurs sites HTTPS Secure (HTTPS). 

Les webmasters qui ont corrigé leurs sites contre la faille SSL dénommée Poodle, décrite par trois ingénieurs de Google en octobre dernier, vont devoir procéder à d'autres vérifications. Plusieurs chercheurs en sécurité ont en effet découvert que cette faille affectait aussi des mises en oeuvre du nouveau protocole TLS (Transport Layer Security). Poodle (Padding Oracle On Downgraded Legacy Encryption) va ainsi permettre à des attaquants de déchiffrer des informations sensibles s'ils parviennent à intercepter le trafic entre un navigateur web et un site https (http secure). Ils pourront par exemple déchiffrer les cookies d'authentification des utilisateurs.

Au départ, on pensait que cette vulnérabilité affectait uniquement SSL 3.0, un protocole vieillissant remplacé par TLS 1.0, 1.1 et 1.2. Dans la mesure où la plupart des navigateurs et serveurs continuaient à supporter SSL 3.0 pour assurer une compatibilité descendante, cette faille risquait effectivement d'être exploitée. De fait, il était possible de forcer le passage de TLS à SSL pour perpétrer une attaque. Maintenant, des experts ont constaté que le problème touchait aussi différentes mises en oeuvre de TLS dans des produits qui ne vérifiaient pas suffisamment la structure de chiffrement utilisé dans les paquets TLS.

Des répartiteurs de charge de F5 Networks et A10 Networks à corriger

Le problème a d'abord été observé dans d'anciennes versions de NSS (Network Security Services), la bibliothèque de chiffrement de Mozilla utilisée dans Firefox et d'autres produits. Mais Adam Langley, chercheur en sécurité de Google, a élaboré un outil pour trouver si d'autres produits sont affectés. Il a découvert que plusieurs sites importants étaient vulnérables parce qu'ils utilisaient des répartiteurs de charge de F5 Networks et A10 Networks pour gérer les connexions TLS. Dans un billet publié hier, Adam Langley a indiqué que F5 avait publié des correctifs pour ses produits et que A10 s'apprêtait à le faire (cf leur bulletin du 8 décembre). « Je ne suis pas tout à fait certain d'avoir trouvé tous les fournisseurs affectés mais, maintenant que le problème est rendu public, tout autre produit affecté devrait être rapidement signalé », écrit-il.

Selon Ivan Ristic, qui pilote le SSL Labs de la société de sécurité Qualys, environ 10% des serveurs gérés par le projet SSL Pulse sont vulnérables aux attaques Poodle à travers TLS. Le projet surveille les sites HTTPS à partir d'une liste référençant le million de sites web les plus visités, publiée par la société Alexa qui réalise des statistiques Internet. Cela représentait 151 000 sites en novembre.

Les administrateurs de sites qui veulent vérifier leurs serveurs, ou si les répartiteurs de charge utilisés à l'entrée de leurs serveurs sont vulnérables, peuvent utiliser le test proposé par le SSL Labs de Qualys. Il a été mis à jour pour détecter ce problème. « En cas de vulnérabilité, appliquez le correctif fourni par votre fournisseur », invite Ivan Ristic dans un billet. Voilà au moins un problème qui peut être paré facilement. 

COMMENTAIRES de l'ARTICLE2

le 11/12/2014 à 15h37 par newsoftpclab (Membre) :

Vous avez peur des failles critiques.Je vous comprends , elles peuvent être dangereuses.

Signaler un abus

le 10/12/2014 à 07h51 par Visiteur5013 :

Si vous faites le test pour PayPal.fr, ce n'est pas fameux.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

35 ans
19 Avril 1996 n°674
Publicité
Publicité
Publicité