10 décembre 2014

POODLE ? C’est une des grosses failles de sécurité de cette année sur le chiffrement.

Concrètement, il était possible de casser le chiffrement utilisé par SSL3.0 ; lorsqu’un attaquant écoutait les connexions réseaux de sa cible, il lui suffisait d’utiliser le mécanisme de fallback pour que le serveur propose le chiffrement faillible, puis de lancer l’attaque, ce qui avait comme conséquence directe de rendre le paquet lisible pour l’attaquant.
A l’époque, la résolution était plutôt simple, le SSL3.0 étant vieillissant, la solution était d’arrêter d’utiliser cette méthode, puisque les dernières versions (TLS donc) n’étaient pas touchées.
Au final, ce workaround s’est révélé être une solution utilisée par tous et donc comme une solution à long terme.

C’était sans compter sur les événements de cette semaine !

 

Le 8 Décembre, une variante de l’attaque originale a été découverte. Celle-ci utilise plus ou moins les mêmes mécanismes que la vulnérabilité d’origine, mais appliquée cette fois ci aux versions TLS 1.0, 1.1, et 1.2.

La raison de cette variante n’est en fait pas une attaque sur le protocole en soi, mais sur l’implémentation de ce protocole par les constructeurs.
En effet, il est courant de ne pas respecter à la lettre les spécifications des protocoles, pour éviter des incompatibilité avec des applicatifs trop vieux par exemple. Ainsi, certains équipements ont préférés jouer la carte de la compatibilité -sans savoir bien évidemment que cela posait des risques de sécurité- plutôt que celle de la compliance.

D’après Qualys, près de 10% des serveurs seraient vulnérables à cette attaque, dont les load balancers F5 (la liste complète des équipements n’est pas encore connue).
Heureusement, F5 a réagi de manière assez rapide et a proposé le jour même un patch de sécurité, permettant de mettre à jour la gestion du chiffrement, et ainsi de bloquer la faille. L’article est disponible à cette adresse.

 

Hearthbleed, POODLE 1 & 2, 2014 est clairement une mauvaise année pour le chiffrement !

 

Pour plus d’informations, l’article d’origine est disponible en suivant ce lien.

Partager :

Auteurs