Il est difficile de résumer toutes ces catastrophes Internet au fur et à mesure qu’elles se produisent, et tout comme nous pensions que l’Internet était à nouveau sécurisé après que Heartbleed et Shellshock ont ​​menacé de «mettre fin à la vie telle que nous la connaissons», sort POODLE.

Ne t’énerve pas trop parce que ce n’est pas aussi menaçant que ça en a l’air. La vérité est que c’est un problème dont il faut s’inquiéter, mais vous pouvez prendre des mesures simples pour vous protéger.

Qu’est-ce que POODLE?

Commençons par le rez-de-chaussée. Qu’est-ce que POODLE? Tout d’abord, il signifie «Remplissage d’Oracle sur le chiffrement hérité rétrogradé.  » Le problème de sécurité est exactement ce que son nom l’indique, une rétrogradation du protocole qui permet des exploits sur une forme de cryptage obsolète. Ce problème a été porté à l’attention du monde ce mois-ci lorsque Google a publié un article intitulé «This POODLE Bites: Exploiting The SSL 3.0 Fallback».

EN RELATION: Comment se connecter à un VPN sous Windows

Pour expliquer cela en termes plus simples, si un attaquant utilisant une attaque Man-In-The-Middle peut prendre le contrôle d’un routeur sur un hotspot public, il peut forcer votre navigateur à passer à SSL 3.0 (un ancien protocole) au lieu d’utiliser le TLS (Transport Layer Security) beaucoup plus moderne, puis exploitez une faille de sécurité dans SSL pour détourner vos sessions de navigateur. Étant donné que ce problème est dans le protocole, tout ce qui utilise SSL est affecté.

Tant que le serveur et le client (navigateur Web) prennent en charge SSL 3.0, l’attaquant peut forcer une rétrogradation dans le protocole, donc même si votre navigateur essaie d’utiliser TLS, il finit par être forcé d’utiliser SSL à la place. La seule réponse est que l’un ou l’autre côté ou les deux côtés suppriment la prise en charge de SSL, supprimant ainsi la possibilité d’être rétrogradé.

Si vous naviguez principalement depuis votre domicile et que vous n’utilisez pas de points d’accès publics, le risque de dommages est assez faible et vous pouvez simplement suivre les étapes simples décrites plus loin dans l’article pour vous protéger. Si vous utilisez souvent un hotspot public, il est peut-être temps de penser à utiliser un VPN.

Comment pouvons-nous résoudre le problème?

Comme il n’y a aucun moyen de résoudre les problèmes avec SSL, la seule solution consiste pour les fabricants de navigateurs et les serveurs Web à tout mettre à niveau pour supprimer la prise en charge de SSL et ne nécessiter que le cryptage TLS.

Google et Firefox ont déjà annoncé qu’ils supprimeraient la prise en charge à l’avenir, et bien que nous n’ayons pas (encore) entendu la même chose de Microsoft, il est extrêmement facile en tant qu’utilisateur final de désactiver SSL 3.0 dans IE. La plupart des grandes sociétés Web suppriment la prise en charge de SSL après la découverte de ce problème, mais il faudra du temps à tout le monde pour le faire.

En tant que consommateur, vous pouvez supprimer la prise en charge de SSL de votre navigateur en utilisant l’une des méthodes décrites ci-dessous – ou si vous utilisez Firefox ou Google Chrome et que vous n’utilisez pas de points d’accès tout le temps, vous pouvez attendre qu’ils mettent à jour le navigateur. Ou vous pouvez vous assurer que vous avez résolu le problème vous-même.

Désactiver SSL 3.0 dans Mozilla Firefox

Si vous êtes un utilisateur de Mozilla Firefox, vos préoccupations SSL 3.0 seront réglées le 25 novembre 2014 lors de la sortie de Fireox 34. Le seul problème avec cela est que ce n’est pas encore novembre et vous devez prendre des mesures pour vous protéger maintenant. Commencez par ouvrir votre navigateur Firefox et accédez à la page de téléchargement de SSL Version Control dans Firefox.

POODLE 1

Une fois l’installation réussie, vous pouvez entrer «about: addons» dans la barre de navigation et sélectionner l’extension «SSL Version Control». Vous pouvez cliquer sur «Options» pour voir les paramètres de l’extension. Assurez-vous que les «Mises à jour automatiques» sont activées et que la «Version SSL minimale» est définie sur «TLS 1.0»

POODLE 3

Après la sortie de Firefox 34, vous pouvez vous sentir libre de désactiver l’extension ou de la désinstaller.

Désactiver SSL 3.0 dans Google Chrome

Si vous êtes un utilisateur de Google Chrome, vous pouvez être assuré que SSL 3.0 sera désactivé dans les mois à venir, bien qu’ils n’aient pas encore fixé de date. Si vous voulez vous protéger maintenant, cela peut se faire en quelques étapes simples. Allez simplement sur l’icône de votre bureau Google Chrome et faites un clic droit dessus puis sélectionnez «Propriétés» en bas du menu contextuel.

POODLE 4

Dans la fenêtre « Propriétés », vous verrez une boîte de saisie de texte qui dit « Cible ». Cliquez simplement dans cette case et appuyez sur le bouton «Fin» de votre clavier. Ensuite, appuyez sur la «barre d’espace» et copiez et collez ce texte à la fin.

--ssl-version-min=tls1

POODLE 5

Appuyez sur « Appliquer » puis cliquez sur « Continuer » dans la fenêtre contextuelle puis appuyez sur « OK ».

Désormais, votre navigateur rejettera automatiquement les certificats SSL 3.0 et n’acceptera que TLS 1.0 et supérieur. Il convient de noter que si vous lancez Chrome via un autre raccourci sur votre ordinateur, il n’utilisera pas cet indicateur.

Désactiver SSL 3.0 dans Internet Explorer

Microsoft n’a pas encore annoncé quand il prévoit de résoudre le problème SSL 3.0, il est donc préférable de le désactiver vous-même en ouvrant votre menu «Démarrer» et en tapant «Options Internet».

Accédez à l’onglet «Avancé» et faites défiler jusqu’à la section «Sécurité» jusqu’à ce que vous voyiez les options SSL et TLS, puis décochez l’option Utiliser SSL 3.0 et activez TLS à la place.

POODLE 9

De cette façon, vous pouvez être sûr que vos navigateurs Internet sont tous protégés contre toute attaque POODLE potentielle.

Crédit d’image: Karen sur Flickr

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici