Caniche est une race de chien dont les pattes ressemblent à des barbes à papa. Il est intelligent et constitue un incontournable des expositions canines. Même les chiens les plus amicaux ont tendance à mordre. Maintenant, nous voyons toutes sortes d'alertes de sécurité et de snafus comme les saignements de cœur et les chocs d'obus !!! Le dernier en date est POODLE.
Tout a commencé lorsqu'une équipe de Google a développé et testé une attaque nommée CANICHE (Padding Oracle On Downgraded Legacy Encryption) which uncovered vulnerability in Secure Sockets Layer (SSL) version 3 protocol or in short SSLv3.
SSLv3 est un cryptage obsolète mais toujours utilisé dans les navigateurs Web plus anciens et plus récents. (SSLv3 est un protocole vieux de 18 ans qui a été remplacé par le protocole TLS)
POODLE tries to force the connection between your web browser and the server to downgrade to SSLv3. The POODLE attack takes advantage of the protocol version negotiation feature built into SSL/TLS to force the use of SSL 3.0 and then uses this new vulnerability to decrypt select content within the SSL session. The decryption is done byte by byte and will generate large number of connections between the client and server.
Comment font-ils?
Un attaquant peut exécuter un agent JavaScript sur un site Web pour que le navigateur de la victime envoie un cookie avec des requêtes HTTPS à https://xyz.com, interceptez et modifiez les enregistrements SSL envoyés par le navigateur de telle sorte qu'il y ait une chance non négligeable que xyz.com accepte l'enregistrement modifié. Si l'enregistrement modifié est accepté, l'attaquant peut décrypter un octet des cookies. Biscuits
TLS 1.0 and newer versions perform more robust validation of the decrypted data and as such are not susceptible to the same problem. But for SSLv3 there’s no fix.
À quel point est-ce grave et comment cela vous affecte-t-il ?
Les connexions sécurisées utilisent principalement TLS (le successeur de SSL), la plupart des utilisateurs deviennent vulnérables car les navigateurs Web et les serveurs rétrograderont vers SSLv3 en cas de problèmes pour négocier une session TLS. La plupart des implémentations SSL/TLS restent rétrocompatibles avec SSL 3.0 pour interopérer avec les systèmes existants dans l'intérêt d'une expérience utilisateur fluide. Un attaquant effectuant une attaque de l'homme du milieu pourrait déclencher une rétrogradation du protocole vers SSLv3 et exploiter cette vulnérabilité pour déchiffrer un sous-ensemble de la communication cryptée et en extraire des informations. La vulnérabilité POODLE ne fonctionne que si le navigateur du client et la connexion du serveur prennent tous deux en charge SSLv3.
Comment tester si mon navigateur est vulnérable ?
Go to poodletest.com website to test this. If you see a poodle, you are vulnerable. If you see a Springfield Terrier, you are safe.
http://www.bolet.org/TestSSLServer/
http://code.google.com/p/sslaudit/
Que puis-je faire pour éviter cela ? Vaccin caniche ?
En tant qu'utilisateur final, désactivez la prise en charge SSLv3 dans votre navigateur Web. S'il est désactivé, POODLE ne peut PAS rétrograder votre navigateur vers celui-ci. Pour encourager les meilleures pratiques de sécurité, je recommande fortement d'utiliser la version la plus élevée de TLS. Pour la plupart des navigateurs, cela devrait être TLS 1.2.
Cela affectera-t-il mon expérience de navigation ?
Cela aura un impact sur certains navigateurs plus anciens. Les sites Web qui ont déjà mis fin à la prise en charge de SSLv3 deviendront incompatibles avec les anciens navigateurs et systèmes d'exploitation. Les anciens navigateurs comme Internet Explorer 6 fonctionnant sous Windows XP ou les versions antérieures verront une erreur de connexion SSL.
SSLv3 sera désactivé par défaut dans les futures versions de nombreux navigateurs Web.
Comment désactiver cela sur le serveur ?
CloudFlare a annoncé qu'il désactivait SSLv3 par défaut sur ses serveurs. De nombreux prestataires de services l’ont également fait.
Si vous utilisez Apache, effectuez simplement cette modification dans votre configuration parmi les autres directives SSL :
Protocole SSL Tous -SSLv2 -SSLv3
Cela désactive les versions 2 et 3 du protocole SSL.
Comment les développeurs peuvent-ils empêcher cela ?
.FILET
Utilisez la propriété SecurityProtocol pour activer TLS.
Pour plus de détails sur l’utilisation de la propriété SecurityProtocol, visitez :
http://msdn.microsoft.com/en-us/library/system.net.servicepointmanager.securityprotocol(v=vs.110).as…
http://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype(v=vs.110).aspx
As an example, to force TLS 1.2 in a C# .NET implementation, you’d use:
System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;
JAVA
REMARQUE : TLS 1.2 a été pris en charge pour la première fois dans JDK 7 et sera celui par défaut dans JDK 8 : https://blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls
Utilisez la méthode SSLContext.getInstance pour activer TLS.
Pour plus de détails sur l'utilisation de la méthode SSLContext.getInstance, visitez :
http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/SSLContext.html#getInstance(java.lang.String)
http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/SSLContext.html#getInstance(java.lang.String,…
http://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html#SSLContext
For example, to use the default security layer provider to enable TLS, you’d use:
object = SSLContext.getInstance(“TLS”);
To force TLS 1.2 while using Sun’s Java Secure Socket Extension (JSSE), you’d use:
object = SSLConnect.getInstance(“TLSv1.2”, “SunJSEE”);
boucle
Utilisez l'option CURLOPT_SSLVERSION pour activer TLS.
Pour plus de détails sur l'utilisation de l'option CURLOPT_SSLVERSION, visitez :
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html
As an example, to force cURL to use TLS 1.0 or later, you’d use:
C/C++/C# :
curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
PHP :
curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
In cURL 7.34.0 or later, to force TLS 1.2, you’d use:
C/C++/C# :
curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);
PHP :
curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);
RailsCarma L'équipe s'est préparée en mode défense complète pour boucher tous les trous laissés ouverts par cette vulnérabilité. Nous avons appliqué les correctifs nécessaires à nos applications pour désactiver les options SSL/TLS non sécurisées.
Les références
http://arstechnica.com/security/2014/10/ssl-broken-again-in-poodle-attack/
https://www.imperialviolet.org/2014/10/14/poodle.html
http://blog.cryptographyengineering.com/2014/10/attack-of-week-poodle.html
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
http://www.theregister.co.uk/2014/10/16/poodle_analysis/
http://www.theregister.co.uk/2014/10/14/google_drops_ssl_30_poodle_vulnerability/
http://www.pcworld.com/article/2834015/security-experts-warn-of-poodle-attack-against-ssl-30.html
http://www.alertlogic.com/blog/poodle-man-middle-attack-sslv3/
https://www.us-cert.gov/ncas/alerts/TA14-290A
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://www.makeuseof.com/tag/stop-poodle-from-biting-your-browser/
https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
Désactiver le caniche
https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
Abonnez-vous pour les dernières mises à jour
À propos de l'auteur du message
