C'est étrange. On n'a jamais découvert autant de failles de sécurité que depuis que l'on cherche. Depuis le scandale suscité par Heartbleed et une multitude d'autres failles découvertes dans OpenSSL, qui ont fait prendre conscience que les systèmes open-source n'étaient pas immunisés contre les malveillances, les développeurs ont enchaîné les trouvailles.
On se souvient ainsi de l'étrange Goto Fail d'Apple, des bugs exploitables découverts dans FreeBSD, dans Bash, dans iCloud, ou encore dans le système Xen, parmi d'autres.
La nuit dernière, Google a révélé une nouvelle faille critique qui affecte SSL, le protocole qui permet de sécuriser de bout en bout les communications entre deux systèmes. De moindre portée que la célèbre faille Heartbleed, la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) ne concerne que la version SSL 3.0, publiée en 1996 et remplacée par le protocole TLS en 1999.
Mais le risque est que le protocole de sécurisation des communications prévoit, parmi les échanges d'amabilités entre les serveurs, que chacun d'entre eux dise à l'autre les protocoles qu'il est capable de prendre en charge. C'est le protocole le plus récent reconnu par les deux qui est alors privilégié, par un système de messages d'erreurs renvoyés jusqu'à ce qu'un protocole commun soit adopté. Donc si un assaillant prétend qu'il n'a rien de plus récent en catalogue que SSL 3.0, un serveur qui accepterait toujours d'utiliser cette vieille version serait compromis.
Or dans les faits, "presque tous les navigateurs supportent (SSL 3.0)", prévient Google. En exploitant la faille, les pirates (ou les services de renseignement bien renseignés sur les failles) peuvent lire en clair les informations échangées.
La solution est simple, en théorie. Il suffit de désactiver le support de SSL 3.0. Mais selon Google, des "problèmes significatifs de compatibilité" seraient alors causés, "même aujourd'hui". La firme propose donc d'adopter le mécanisme TLS Fallback Signaling Cipher Suite Value (SCSV) proposé en janvier dernier comme norme par Google à l'IETF. Il permet de modifier la façon dont s'effectue l'échange d'informations sur la comptabilité entre les différentes versions des protocoles de chiffrement, pour éviter les attaques de ce type.
Google a en outre pris la décision de ne plus autoriser SSL 3.0 dans Google Chrome, quitte à ce que des sites ne soient plus utilisables avec le premier navigateur du marché. "Ces sites devront être mis à jour rapidement", prévient la firme de Mountain View.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
