C'est étrange. On n'a jamais découvert autant de failles de sécurité que depuis que l'on cherche. Depuis le scandale suscité par Heartbleed et une multitude d'autres failles découvertes dans OpenSSL, qui ont fait prendre conscience que les systèmes open-source n'étaient pas immunisés contre les malveillances, les développeurs ont enchaîné les trouvailles.
On se souvient ainsi de l'étrange Goto Fail d'Apple, des bugs exploitables découverts dans FreeBSD, dans Bash, dans iCloud, ou encore dans le système Xen, parmi d'autres.
La nuit dernière, Google a révélé une nouvelle faille critique qui affecte SSL, le protocole qui permet de sécuriser de bout en bout les communications entre deux systèmes. De moindre portée que la célèbre faille Heartbleed, la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) ne concerne que la version SSL 3.0, publiée en 1996 et remplacée par le protocole TLS en 1999.
Mais le risque est que le protocole de sécurisation des communications prévoit, parmi les échanges d'amabilités entre les serveurs, que chacun d'entre eux dise à l'autre les protocoles qu'il est capable de prendre en charge. C'est le protocole le plus récent reconnu par les deux qui est alors privilégié, par un système de messages d'erreurs renvoyés jusqu'à ce qu'un protocole commun soit adopté. Donc si un assaillant prétend qu'il n'a rien de plus récent en catalogue que SSL 3.0, un serveur qui accepterait toujours d'utiliser cette vieille version serait compromis.
Or dans les faits, "presque tous les navigateurs supportent (SSL 3.0)", prévient Google. En exploitant la faille, les pirates (ou les services de renseignement bien renseignés sur les failles) peuvent lire en clair les informations échangées.
La solution est simple, en théorie. Il suffit de désactiver le support de SSL 3.0. Mais selon Google, des "problèmes significatifs de compatibilité" seraient alors causés, "même aujourd'hui". La firme propose donc d'adopter le mécanisme TLS Fallback Signaling Cipher Suite Value (SCSV) proposé en janvier dernier comme norme par Google à l'IETF. Il permet de modifier la façon dont s'effectue l'échange d'informations sur la comptabilité entre les différentes versions des protocoles de chiffrement, pour éviter les attaques de ce type.
Google a en outre pris la décision de ne plus autoriser SSL 3.0 dans Google Chrome, quitte à ce que des sites ne soient plus utilisables avec le premier navigateur du marché. "Ces sites devront être mis à jour rapidement", prévient la firme de Mountain View.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !