Google dévoile une faille de sécurité SSL

Bodo Möller de la Google Security Team, vient de publier les détails d’une vulnérabilité du standard SSL 3.0.

Cette dernière, nommée POODLE Attack (PDF), dont la référence est CVE-2014-3566, permettrait à un attaquant, à l’aide d’une attaque de l’homme du milieu de déchiffrer des connexions sécurisées.

Il recommande le support de la fonctionnalité TLS_Fallback_SCSV ou de désactiver SSL 3.0.

Notons que cette faille n’est pas considérée à haut risque par la plupart des entreprises comme Microsoft, qui travaillent toutefois à des correctifs.

D’une part parce que le standard SSL 3.0 a presque quinze ans et est peu utilisé.

D’autre part parce que les standards le remplaçant comme TLS 1.0, 1.1, et 1.2 et les flux cryptés n’utilisant pas CBC, ne sont pas vulnérables.

Enfin parce qu’il faut quand même des centaines de requêtes HTTPS à un pirate avant que l’attaque réussisse.