Faille de sécurité SSLv3 Poodle

4 réponses

Auteur	Message
Bool \| Modérateur Inscrit le : 09/05/2005	# Le 15/10/2014 à 12:21 Bonjour les gens, une nouvelle faille SSL a été identifiée , assez problématique celle-ci : elle ne concerne pas l'implémentation mais bien le fonctionnement de SSLv3 en lui même. Le principe : SSLv3 est une vieille version du protocole SSL/TLS, remplacée par TLS 1.0 en janvier 1999. Une faille vient d'être identifiée dans cette version, permettant de déchiffrer le trafic en question. Sur le coup, pas de quoi fouetter un chat, non ? Le hic c'est que les navigateurs négocient le chiffrement avec le serveur, et que dans certains cas ils peuvent se rabattre sur SSLv3 en cas de problème. Problème qui peut être provoqué par l'éventuel pirate justement. La solution ? Désactiver SSLv3 coté serveur (et/ou navigateur), afin d'être sûr qu'il ne soit jamais utilisé. Le problème ? Internet Explorer 6 ne gère pas TLS 1.0 (1999 = trop récent )... donc ça reviendrait à interdire l'accès d'IE6 à tous les sites chiffrés. Perso j'ai hâte de voir ce que vont choisir de faire Google et Facebook... PS : dans le cas de Chrome, Google s'oriente vers une solution technique différente, mais je ne pense pas qu'elle puisse être utilisée coté serveur pour IE6. daevel : infogérance et conseil \|\| moi
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 15/10/2014 à 14:12 Un peu plus de détail à ce sujet : https://www.imperialviolet.org/2014/10/14/poodle.h... Avec divers pistes de «correction». daevel : infogérance et conseil \|\| moi
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 15/10/2014 à 14:29 C'est quoi le vrai gros risque en fait ? JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 15/10/2014 à 15:20 Vol de login/password ou de session depuis un réseau wifi publique (gares, fast-food, etc). daevel : infogérance et conseil \|\| moi
francois10 \| Francois Membre Inscrit le : 14/05/2006	# Le 15/10/2014 à 18:43 Facebook s'est pas trop pris la tête, ils ont désactivé le SSLv3 hier soir dans la nuit, sans prévenir, sur l'ensemble de l'API graph !

Auteur

Message

Bool |
Modérateur

Inscrit le : 09/05/2005

# Le 15/10/2014 à 12:21

Bonjour les gens,

une nouvelle faille SSL a été identifiée , assez problématique celle-ci : elle ne concerne pas l'implémentation mais bien le fonctionnement de SSLv3 en lui même.
Le principe : SSLv3 est une vieille version du protocole SSL/TLS, remplacée par TLS 1.0 en janvier 1999. Une faille vient d'être identifiée dans cette version, permettant de déchiffrer le trafic en question.

Sur le coup, pas de quoi fouetter un chat, non ? Le hic c'est que les navigateurs négocient le chiffrement avec le serveur, et que dans certains cas ils peuvent se rabattre sur SSLv3 en cas de problème. Problème qui peut être provoqué par l'éventuel pirate justement.

La solution ? Désactiver SSLv3 coté serveur (et/ou navigateur), afin d'être sûr qu'il ne soit jamais utilisé.
Le problème ? Internet Explorer 6 ne gère pas TLS 1.0 (1999 = trop récent )... donc ça reviendrait à interdire l'accès d'IE6 à tous les sites chiffrés.

Perso j'ai hâte de voir ce que vont choisir de faire Google et Facebook...

PS : dans le cas de Chrome, Google s'oriente vers une solution technique différente, mais je ne pense pas qu'elle puisse être utilisée coté serveur pour IE6.

daevel : infogérance et conseil || moi

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 15/10/2014 à 14:12

Un peu plus de détail à ce sujet : https://www.imperialviolet.org/2014/10/14/poodle.h... Avec divers pistes de «correction».

daevel : infogérance et conseil || moi

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 15/10/2014 à 14:29

C'est quoi le vrai gros risque en fait ?

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 15/10/2014 à 15:20

Vol de login/password ou de session depuis un réseau wifi publique (gares, fast-food, etc).

daevel : infogérance et conseil || moi

francois10 | Francois
Membre

Inscrit le : 14/05/2006

# Le 15/10/2014 à 18:43

Facebook s'est pas trop pris la tête, ils ont désactivé le SSLv3 hier soir dans la nuit, sans prévenir, sur l'ensemble de l'API graph !

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.