POODLE

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

POODLE (de l'anglais Padding Oracle On Downgraded Legacy Encryption) est une vulnérabilité logicielle présente dans le protocole SSL 3.0, qui permet de déchiffrer les informations échangées entre le navigateur Web de la victime et le serveur sécurisé, avec l'attaque de l'homme du milieu[1].

Ce problème fut révélé par Google[2] dans un rapport rendu public le 14 octobre 2014.

Pour s'en prémunir les serveurs devront donc migrer en TLS[3].

Le 20 octobre 2014, FileZilla a déployé sa mise à jour correctrice[4].

Le 8 décembre 2014, l'entreprise de sécurité Qualys déclare avoir réussi à toucher TLS avec cette même vulnérabilité[5]. Il est estimé qu'au moins 10% des sites web seraient touchés[6].

Paramétrer un navigateur pour éviter cette faille[modifier | modifier le code]

  • Firefox, dans l'URL : about:config, mettre : security.tls.version.min à 1.
  • Internet Explorer : ne pas cocher SSL V3.
  • Chrome : ajouter un commutateur dans le raccourci[7].

Articles connexes[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. Christophe Auffray, « Google a détecté une faille majeure dans SSL 3.0 », ZDNet,‎ (lire en ligne)
  2. (en) Bodo Möller, Thai Duong et Krzysztof Kotowicz, This POODLE Bites: Exploiting The SSL 3.0 Fallback, (lire en ligne)
  3. La Rédaction, « Une nouvelle faille critique affecte SSL : Poodle », le Journal du Net,‎ (lire en ligne)
  4. « FileZilla - The free FTP solution », sur filezilla-project.org (consulté le 14 mars 2016)
  5. (en) « Poodle Bites TLS », Qualys,‎ (lire en ligne)
  6. La rédaction, « Nouvelle faille Poodle : SSL à nouveau gravement vulnérable », Journal du net,‎ (lire en ligne)
  7. Vincent Hermann, « La faille POODLE de SSLv3 permet de décrypter les données sur une connexion », sur www.nextinpact.com (consulté le 14 mars 2016)