Poodle : vulnérabilité critique dans le protocole SSLv3

Poodle est une faille de sécurité dans le protocole SSL v3, publiée le 14 octobre 2014, permettant à un attaquant actif de découvrir des données chiffrées.

Que permet cette faille ?

Poodle est une faille de sécurité dans le protocole SSL v3, publiée le 14 octobre 2014, permettant à un attaquant actif de découvrir des données chiffrées.

Exploitation et conséquences

Poodle est référencé sous le nom CVE 2014-3566. Pour attaquer avec Poodle, il faut un client et un serveur TLS (pas forcément HTTPS, mais tout protocole avec chiffrement : IMAPS, POP3S, SMTPS, …) qui acceptent SSL v3 (la grande majorité) et les forcer à utiliser ce vieux protocole (en imposant un repli vers SSLv3, au lieu d’utiliser les protocoles TLS récents).

Mesures à prendre

Il faut impérativement désactiver SSL v3 (comme recommandé par le RGS de l’ANSSI). SSLv2 devant déjà être banni. Il faut donc n’utiliser que le protocole TLS, en version 1.0 et supérieure. Le cas le plus urgent est celui des serveurs HTTPS. On peut tester si un serveur accepte SSL v3 avec SSLlabs : https://www.ssllabs.com/ssltest/

Côté serveurs

Il faut désactiver le support de SSLv3 sur tous les serveurs exposés. Ceci inclut notamment :

  • Les solutions de VPN SSL (Juniper, Fortinet)
  • Les relais de messagerie (Websense, Trend Micro, Fortinet, Postfix)
  • Les proxys web (Websense, Trend Micro)
  • Les serveurs web (Apache, Nginx)
  • Les serveurs de messagerie (Exchange, Courier, Dovecot)

Côté clients

Il faut désactiver le support de SSLv3 sur tous les navigateurs, et notamment :

  • Internet Explorer
  • Mozilla Firefox
  • Google Chrome

Références

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *