Vidéo: Bichon Maltais - Caractère, soins, éducation (Novembre 2024)
Les chercheurs ont découvert une autre vulnérabilité grave de Secure Sockets Layer (SSL) qui affecte la sécurité de nos informations et communications en ligne. La bonne nouvelle est que vous pouvez prendre des mesures spécifiques pour bloquer les attaques exploitant cette faille.
Les chercheurs de Google, Bodo Möller, Thai Duong et Krzysztof Kotowicz, ont exposé les détails de l'attaque contre Padding Oracle On Downgraded Legacy Encryption (POODLE) dans un avis de sécurité publié sur OpenSSL.org. Cette vulnérabilité concerne SSL 3.0, introduit en 1996 et remplacé par TLS (Transport Layer Security) en 1999. Poodle tire parti du fait que les clients - navigateurs Web inclus - passeront aux protocoles plus anciens et moins sécurisés s'ils est incapable d'établir une connexion sécurisée. Le déclassement peut être déclenché par des problèmes de réseau ou par des attaquants actifs.
"Un attaquant du réseau pouvant provoquer des échecs de connexion, il peut déclencher l'utilisation de SSL 3.0 puis exploiter ce problème", a écrit Möller sur le blog de l'équipe de sécurité en ligne de Google, mardi après-midi.
Poodle expose les cookies de session. Les attaquants n'obtiendront pas le mot de passe de l'utilisateur pour accéder à des comptes de messagerie ou à d'autres services en ligne, mais pourront toujours se connecter en tant qu'utilisateur tant que le cookie de session sera valide. "Ainsi, pendant que vous êtes chez Starbucks, un pirate informatique à côté de vous sera en mesure de poster des tweets sur votre compte Twitter et de lire tous vos messages Gmail", a déclaré Robert Graham d'Errata Security.
Première ligne de défense
L'attaque Poodle repose sur le fait que l'adversaire a d'abord mis en place une attaque de type "man-in-the-middle" pour prendre le contrôle de la connexion Internet de la victime. Une façon de le faire consiste à configurer un point d'accès Wi-Fi malveillant dans un lieu public tel qu'un café. Les attaquants doivent également être en mesure d'exécuter du code Javascript dans le navigateur de la victime.
"Cela exige que quelqu'un soit un homme du milieu à exploiter. Cela signifie que vous êtes probablement à l'abri des pirates informatiques à la maison, mais pas à l'abri de la NSA. Cependant, lorsque vous utilisez le Starbucks local ou un autre réseau Wi-Fi non crypté, sont en grave danger de ce piratage ", a écrit Graham.
Vous pouvez donc déjà prendre certaines mesures pour empêcher les attaques potentielles de Poodle de réussir. Comme nous l'avons dit à maintes reprises, ne vous précipitez pas sur les réseaux Wi-Fi publics ou les réseaux invités gérés par des personnes que vous ne connaissez pas. Même si Poodle ne vous inquiète pas, les attaques de type homme du milieu sont sérieuses et vous vous protégez en faisant attention aux réseaux auxquels vous vous connectez.
Si vous devez vous connecter à un réseau public, utilisez un VPN, que ce soit depuis votre lieu de travail ou l’un des nombreux services VPN disponibles. Il en existe plusieurs, tels que PrivateInternetAccess, CyberGhostVPN et HotSpot Shield d'AnchorFree, pour en nommer quelques-uns.
Les pirates inciteront probablement les utilisateurs à visiter une page Web malveillante conçue pour exécuter du code Javascript spécialement conçu. Faites attention aux sites que vous visitez et soyez à l'affût des sites de phishing.
Pourquoi avons-nous toujours SSL 3.0?
La plupart des serveurs et applications modernes utilisent TLS 1.1 ou 1.2, mais SSL 3.0 est toujours largement utilisé pour prendre en charge des applications et des systèmes hérités. Internet Explorer 6 est un bon exemple. Bien que IE 6 ne soit plus aussi visible qu'auparavant, il restait assez longtemps, donc un certain nombre de serveurs et d'applications ont été conçus pour prendre en charge SSL 3.0 ainsi que le TLS plus sécurisé. Netcraft estime que près de 97% des serveurs Web SSL sont susceptibles d'être vulnérables.
"Vous pouvez pratiquement le tuer dans la plupart des endroits aujourd'hui", a écrit Troy Hunt, chercheur en sécurité, mais ce n'est qu'un aspect du problème car il existe des clients qui peuvent dépendre de la possibilité de revenir à SSL 3.0. Nous ne savons pas de quoi il s’agit, ce qui rend les entreprises moins enclines à simplement débrancher. Par exemple, il a été rapporté sur Twitter que MetroTwit, un client Twitter populaire pour Windows, s'appuyait sur SSL 3.0 et cessait de fonctionner après la désactivation de la prise en charge de SSL 3.0 par Twitter mardi soir (MetroTwit a d'ailleurs publié un correctif, vous devez donc mettre à jour votre client)..
"C'est l'incertitude qui maintient en vie ces technologies de la première génération", a déclaré Hunt.
Résoudre le problème du navigateur
Utilisez un navigateur Web moderne et conforme aux normes. Mozilla désactivera SSL 3.0 par défaut dans la prochaine version de Firefox, prévue pour le 25 novembre, et Google la nettoie depuis Chrome. Safari active automatiquement SSL, mais Apple n’a pas encore annoncé ses projets de navigateur. Microsoft a publié un avis avec des instructions sur la désactivation de SSL 3.0 à partir de postes de travail et de serveurs Windows.
"Inutile de haïr Microsoft, comme Internet Explorer 10 ou 11 le fera", a déclaré Garve Hays, architecte de solutions chez NetIQ.
Vous pouvez désactiver manuellement SSL 3.0 dans IE en décochant la case SSL 3.0 sous les onglets Avancé du menu Options Internet. Les utilisateurs de Firefox doivent se rendre sur about.config dans le navigateur et définir la valeur pour security.tls.version.min sur 1. Ils peuvent également télécharger un module complémentaire Mozilla pour désactiver SSL 3.0. Les utilisateurs de Chrome qui souhaitent désactiver SSL 3.0 peuvent ajouter l'indicateur de ligne de commande --ssl-version-min = tls1 au navigateur.
Les utilisateurs de Safari devront attendre une mise à jour, chaque fois que cela se produira. Rester temporairement à l'écart de Safari réduira le risque d'attaque par un caniche.
Lorsque Microsoft a cessé de prendre en charge Windows XP en avril, certains informateurs ont affirmé qu'ils ne voyaient aucune raison de procéder à la mise à niveau vers le système d'exploitation. Si ces utilisateurs utilisent encore Internet Explorer 6, ils vont commencer à voir les choses se casser en ligne. CloudFlare a désactivé SSL 3.0 par défaut pour tous les sites qu'il héberge, y compris les 2 millions de sites qui utilisent le forfait gratuit. Cette décision aura un impact sur moins de 1% du trafic sur ses sites, a déclaré Cloudflare. De nombreuses entreprises sont susceptibles de suivre l'exemple de Twitter et de désactiver l'assistance sur leurs sites. Si vous utilisez toujours Internet Explorer 6 ou Windows XP, vous devez réellement effectuer la mise à niveau.
"Si vous utilisez IE 6 aujourd'hui (oui, il y en a encore) et que vous n'avez pas le choix de mettre à niveau parce que" les raisons ", vous êtes bourré", a écrit Hunt.
