Ouvrir le menu principal

MacGeneration

Recherche

Des correctifs en cours pour la faille de sécurité SSLv3

Florian Innocente

mercredi 15 octobre 2014 à 13:00 • 4

Ailleurs

Une équipe de Google a mis en lumière une faille de sécurité dans le protocole SSL utilisé pour chiffrer les échanges de données entre un navigateur et un site web. Mise en oeuvre, elle permet à un malandrin de se faire passer pour sa victime et d'accéder à des données privées sur un service tel qu'un webmail ou le serveur d'une banque.

Ce nouvel angle d'attaque a été baptisé POODLE pour Padding Oracle On Downgraded Legacy Encryption. Il utilise une ancienne version 3 du protocole SSL, sortie il y a 18 ans, qui assure le chiffrement d'une transaction. Une autre méthode plus robuste et plus répandue existe néanmoins : TLS 1.0.

Cependant des sites web utilisent toujours SSLv3 pour assurer une compatibilité avec Internet Explorer 6 dans Windows XP. Surtout la technique sait simuler un problème de connexion et forcer un navigateur à basculer de TLS à SSLv3.

Le principe ensuite de cette attaque est de s'intercaler entre l'internaute et son site web de destination au moyen par exemple d'un hotspot Wi-Fi monté de toute pièce. L'attaquant va alors tenter de reconstruire le cookie d'identification utilisé pour l'authentification auprès du site. Ars Technica, qui détaille la méthode, décrit un procédé qui exige de la patience et des essais répétés pour réussir à obtenir toutes les pièces de ce puzzle.

Mais une fois le cookie reconstitué dans son intégralité, le hacker peut se faire passer pour sa victime et profiter du fait que SSL 3 effectue moins de contrôles d'identité que TLS 1.0.

Côté administrateurs de sites web, la consigne est d'abandonner SSLv3, lequel est utilisé de façon marginale aujourd'hui. Même chose pour les navigateurs Web, Mozilla va le faire pour Firefox 34 prévu le 25 novembre (la 33 actuelle est toutefois immunisée). Dans Internet Explorer 11 cela peut être fait manuellement dans les réglages avancés. Chez Google il est prévu de modifier Chrome de manière à ce qu'il ne puisse plus faire cette bascule entre les protocoles, quitte à être incompatible avec certains sites qui devront être mis à jour. Une parade est documentée pour la version Windows de Chrome mais elle implique, pour être efficace, d'ouvrir le navigateur depuis un raccourci sur le bureau et non par un lien externe. Reste enfin le cas de Safari qui devra être mis à jour puisqu'il est déclaré comme vulnérable.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Test du clavier Keychron V10 Max : Alice au pays de Corneille ?

20:30

• 1


macOS Tahoe 26 : la bêta 3 est disponible pour les développeurs

19:41

• 0


Pétanque : une nouvelle app iPhone met fin aux débats autour du cochonnet

16:19

• 38


Creative Cloud : Adobe réduit le nombre de crédits génératifs pour les nouveaux abonnés sur certaines formules

15:42

• 8


Presque 4 ans après sa sortie, Windows 11 est enfin plus utilisé que Windows 10

14:30

• 11


Orange propose ChatGPT Plus à moitié prix pendant 6 mois à ses abonnés

12:31

• 21


ProtectEU : comment l’Union européenne veut affaiblir le chiffrement de bout en bout

11:09

• 54


Les Antivirus pour Mac en 2025 📍

10:42

• 0


F1 : la course vers la rentabilité est lancée pour le film d'Apple

10:40

• 29


FolderDrive : et si les SSD ressemblaient aux dossiers de macOS

07:31

• 14


Une carte cadeau Apple de 100 € vous rapporte 10 € sur Amazon

06:50

• 4


Un SMS, un clic… et des données envolées : pourquoi Incogni devient indispensable  📣

06/07/2025 à 10:00

• 0


Aperçu des nouveautés de Raccourcis dans iOS 26 et macOS 26 : Apple intègre (presque) un chatbot

06/07/2025 à 08:00

• 20


Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

05/07/2025 à 11:00

• 10


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

05/07/2025 à 08:00

• 38


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 201