SSL 3.0 : Google prévient d'une vulnérabilité

15 octobre 2014 à 15h58
0
Google explique avoir découvert une faille au sein du protocole de sécurité SSL en version 3.0, permettant à un hacker de récupérer des données censées être chiffrées.

0096000004187298-photo-securit-internet-logo-sq-gb.jpg
La couche de sécurité SSL, permettant de chiffrer les transactions sur Internet, a été remplacée depuis plusieurs années par le protocole TLS en version 1.0, 1.1, et 1.2. Toutefois, les implémentations de TLS assurent encore à ce jour une rétro-compatibilité vers SSL 3.0. D'après Google, celle-ci permettrait à des hackeurs de casser le chiffrage de la transaction et donc de récupérer les données.

Lorsqu'une connexion sécurisée est établie via le protocole TLS entre un ordinateur et un serveur tiers, les deux parties tentent d'utiliser par défaut la dernière version en date, en l'occurrence TLS 1.2. Toutefois, si un problème survient, une version antérieure assurera le chiffrement. Selon Google une personne contrôlant le réseau serait même en mesure de baser le transfert via SSL 3.0 afin de déchiffrer les cookies HTTP.

Comme solution Google demande aux administrateurs de serveurs de désactiver SSL 3.0. La firme californienne ajoute qu'elle testera une version de Chrome sans la prise en charge de SSL 3.0. Mozilla a expliqué que la version 34 de Firefox, attendue fin novembre désactivera SSL 3.0 par défaut. En attendant, il est d'ores et déjà possible de procéder à cette manipulation en installant cet add-on.

Cette vulnérabilité n'est pas sans rappeler la faille Heartbleed, exploitant une faille au sein d'OpenSSL sur laquelle se basaient les versions 1.01 et 1.02 bêta du protocole TLS.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
0
0

Actualités récentes

Soldes : les 5 meilleures offres Philips Hue à saisir avant la fin du week-end
Quelle montre connectée choisir pour vous accompagner dans vos exploits sportifs ?
Soldes Xiaomi : le TOP des promos high-tech Xiaomi chez AliExpress
Il pourrait bientôt y avoir un set LEGO Metroid !
IP statique et IP dédiée : quelles différences ?
Envie de revivre l'horrible année que fut 2020 ? C'est possible grâce à ce jeu en ligne
Comment quitter facilement WhatsApp et migrer sur Signal en 7 étapes ?
Soldes : le TOP des promos high-tech chez Amazon et Cdiscount
Avis OKEx (2021) : une plateforme crypto bien pensée, mais qui traîne des casseroles
HDR10, HDR10+, Dolby Vision : quel est le meilleur format ?
Haut de page