SSL 3.0 : Google prévient d'une vulnérabilité

15 octobre 2014 à 15h58
0
Google explique avoir découvert une faille au sein du protocole de sécurité SSL en version 3.0, permettant à un hacker de récupérer des données censées être chiffrées.

0096000004187298-photo-securit-internet-logo-sq-gb.jpg
La couche de sécurité SSL, permettant de chiffrer les transactions sur Internet, a été remplacée depuis plusieurs années par le protocole TLS en version 1.0, 1.1, et 1.2. Toutefois, les implémentations de TLS assurent encore à ce jour une rétro-compatibilité vers SSL 3.0. D'après Google, celle-ci permettrait à des hackeurs de casser le chiffrage de la transaction et donc de récupérer les données.

Lorsqu'une connexion sécurisée est établie via le protocole TLS entre un ordinateur et un serveur tiers, les deux parties tentent d'utiliser par défaut la dernière version en date, en l'occurrence TLS 1.2. Toutefois, si un problème survient, une version antérieure assurera le chiffrement. Selon Google une personne contrôlant le réseau serait même en mesure de baser le transfert via SSL 3.0 afin de déchiffrer les cookies HTTP.

Comme solution Google demande aux administrateurs de serveurs de désactiver SSL 3.0. La firme californienne ajoute qu'elle testera une version de Chrome sans la prise en charge de SSL 3.0. Mozilla a expliqué que la version 34 de Firefox, attendue fin novembre désactivera SSL 3.0 par défaut. En attendant, il est d'ores et déjà possible de procéder à cette manipulation en installant cet add-on.

Cette vulnérabilité n'est pas sans rappeler la faille Heartbleed, exploitant une faille au sein d'OpenSSL sur laquelle se basaient les versions 1.01 et 1.02 bêta du protocole TLS.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Qualcomm rachète CSR, le spécialiste des puces
Mark Zuckerberg fait un don de 25 millions de dollars pour la lutte contre Ebola
Orange : un réseau FTTH et une Livebox vraiment à 1 Gb/s
Alain Goudey :
Play TV condamné à 1 million d'euros pour contrefaçon de droits d’auteur
Xiaomi MI4 : mise à jour du test
Samsung déploie un correctif pour son 840 Evo (màj)
Step-In récompense les visiteurs en boutique qui n'achètent rien
Les ventes des tablettes progressent, mais faiblement
Kazam Tornado 348 : 5,15 mm pour le smartphone le plus fin du marché
Haut de page