{"id":6492,"date":"2014-11-30T07:29:11","date_gmt":"2014-11-30T07:29:11","guid":{"rendered":"https:\/\/dev.railscarma.com\/poodle-ssl-security-threat-explored\/"},"modified":"2022-08-30T07:32:51","modified_gmt":"2022-08-30T07:32:51","slug":"menace-de-securite-ssl-caniche-exploree-2","status":"publish","type":"post","link":"https:\/\/www.railscarma.com\/fr\/blog\/articles-techniques\/menace-de-securite-ssl-caniche-exploree-2\/","title":{"rendered":"Poodle \u2013 Menace de s\u00e9curit\u00e9 SSL explor\u00e9e"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Caniche<\/strong> est une race de chien dont les pattes ressemblent \u00e0 des barbes \u00e0 papa. Il est intelligent et constitue un incontournable des expositions canines. M\u00eame les chiens les plus amicaux ont tendance \u00e0 mordre. Maintenant, nous voyons toutes sortes d'alertes de s\u00e9curit\u00e9 et de snafus comme les saignements de c\u0153ur et les chocs d'obus !!! Le dernier en date est POODLE.<\/p>\n

\n<\/p>

Tout a commenc\u00e9 lorsqu'une \u00e9quipe de Google a d\u00e9velopp\u00e9 et test\u00e9 une attaque nomm\u00e9e CANICHE<\/strong> (Padding Oracle On Downgraded Legacy Encryption) qui a d\u00e9couvert une vuln\u00e9rabilit\u00e9 dans le protocole Secure Sockets Layer (SSL) version 3 ou en abr\u00e9g\u00e9 SSLv3.<\/p>\n

SSLv3 est un cryptage obsol\u00e8te mais toujours utilis\u00e9 dans les navigateurs Web plus anciens et plus r\u00e9cents. (SSLv3 est un protocole vieux de 18 ans qui a \u00e9t\u00e9 remplac\u00e9 par le protocole TLS)<\/p>\n

POODLE essaie de forcer la connexion entre votre navigateur Web et le serveur \u00e0 passer \u00e0 SSLv3. L'attaque POODLE profite de la fonctionnalit\u00e9 de n\u00e9gociation de version de protocole int\u00e9gr\u00e9e \u00e0 SSL\/TLS pour forcer l'utilisation de SSL 3.0, puis utilise cette nouvelle vuln\u00e9rabilit\u00e9 pour d\u00e9crypter certains contenus au sein de la session SSL. Le d\u00e9cryptage se fait octet par octet et g\u00e9n\u00e9rera un grand nombre de connexions entre le client et le serveur.<\/p>\n

Comment font-ils?<\/strong><\/p>\n

Un attaquant peut ex\u00e9cuter un agent JavaScript sur un site Web pour que le navigateur de la victime envoie un cookie avec des requ\u00eates HTTPS \u00e0 https:\/\/xyz.com<\/b>, interceptez et modifiez les enregistrements SSL envoy\u00e9s par le navigateur de telle sorte qu'il y ait une chance non n\u00e9gligeable que xyz.com accepte l'enregistrement modifi\u00e9. Si l'enregistrement modifi\u00e9 est accept\u00e9, l'attaquant peut d\u00e9crypter un octet des cookies. Biscuits<\/p>\n

TLS 1.0 et les versions plus r\u00e9centes effectuent une validation plus robuste des donn\u00e9es d\u00e9chiffr\u00e9es et ne sont donc pas sensibles au m\u00eame probl\u00e8me. Mais pour SSLv3, il n'y a pas de solution.<\/p>\n

\u00c0 quel point est-ce grave et comment cela vous affecte-t-il\u00a0?<\/strong><\/p>\n

Les connexions s\u00e9curis\u00e9es utilisent principalement TLS (le successeur de SSL), la plupart des utilisateurs deviennent vuln\u00e9rables car les navigateurs Web et les serveurs r\u00e9trograderont vers SSLv3 en cas de probl\u00e8mes pour n\u00e9gocier une session TLS. La plupart des impl\u00e9mentations SSL\/TLS restent r\u00e9trocompatibles avec SSL 3.0 pour interop\u00e9rer avec les syst\u00e8mes existants dans l'int\u00e9r\u00eat d'une exp\u00e9rience utilisateur fluide. Un attaquant effectuant une attaque de l'homme du milieu pourrait d\u00e9clencher une r\u00e9trogradation du protocole vers SSLv3 et exploiter cette vuln\u00e9rabilit\u00e9 pour d\u00e9chiffrer un sous-ensemble de la communication crypt\u00e9e et en extraire des informations. La vuln\u00e9rabilit\u00e9 POODLE ne fonctionne que si le navigateur du client et la connexion du serveur prennent tous deux en charge SSLv3.<\/p>\n

Comment tester si mon navigateur est vuln\u00e9rable ?<\/strong><\/p>\n

Allez sur le site Web poodletest.com pour tester cela. Si vous voyez un caniche, vous \u00eates vuln\u00e9rable. Si vous voyez un Springfield Terrier, vous \u00eates en s\u00e9curit\u00e9.<\/p>\n

http:\/\/www.bolet.org\/TestSSLServer\/
http:\/\/code.google.com\/p\/sslaudit\/<\/p>\n

Que puis-je faire pour \u00e9viter cela ? Vaccin caniche ?<\/strong><\/p>\n

En tant qu'utilisateur final, d\u00e9sactivez la prise en charge SSLv3 dans votre navigateur Web. S'il est d\u00e9sactiv\u00e9, POODLE ne peut PAS r\u00e9trograder votre navigateur vers celui-ci. Pour encourager les meilleures pratiques de s\u00e9curit\u00e9, je recommande fortement d'utiliser la version la plus \u00e9lev\u00e9e de TLS. Pour la plupart des navigateurs, cela devrait \u00eatre TLS 1.2.
<\/strong><\/strong><\/p>\n

Cela affectera-t-il mon exp\u00e9rience de navigation\u00a0?
<\/strong><\/strong><\/p>\n

Cela aura un impact sur certains navigateurs plus anciens. Les sites Web qui ont d\u00e9j\u00e0 mis fin \u00e0 la prise en charge de SSLv3 deviendront incompatibles avec les anciens navigateurs et syst\u00e8mes d'exploitation. Les anciens navigateurs comme Internet Explorer 6 fonctionnant sous Windows XP ou les versions ant\u00e9rieures verront une erreur de connexion SSL.<\/p>\n

SSLv3<\/strong> sera d\u00e9sactiv\u00e9 par d\u00e9faut dans les futures versions de nombreux navigateurs Web.<\/p>\n

Comment d\u00e9sactiver cela sur le serveur ?<\/strong><\/p>\n

CloudFlare a annonc\u00e9 qu'il d\u00e9sactivait SSLv3 par d\u00e9faut sur ses serveurs. De nombreux prestataires de services l\u2019ont \u00e9galement fait.<\/p>\n

Si vous utilisez Apache, effectuez simplement cette modification dans votre configuration parmi les autres directives SSL\u00a0:<\/p>\n

Protocole SSL Tous -SSLv2 -SSLv3<\/p>\n

Cela d\u00e9sactive les versions 2 et 3 du protocole SSL.<\/p>\n

Comment les d\u00e9veloppeurs peuvent-ils emp\u00eacher cela\u00a0?<\/strong>
<\/strong><\/strong><\/p>\n

.FILET<\/b><\/p>\n

Utilisez la propri\u00e9t\u00e9 SecurityProtocol pour activer TLS.<\/p>\n

Pour plus de d\u00e9tails sur l\u2019utilisation de la propri\u00e9t\u00e9 SecurityProtocol, visitez\u00a0:<\/p>\n

http:\/\/msdn.microsoft.com\/en-us\/library\/system.net.servicepointmanager.securityprotocol(v=vs.110).as…<\/p>\n

http:\/\/msdn.microsoft.com\/en-us\/library\/system.net.securityprotocoltype(v=vs.110).aspx<\/p>\n

\u00c0 titre d'exemple, pour forcer TLS 1.2 dans une impl\u00e9mentation C# .NET, vous utiliseriez\u00a0:<\/p>\n

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;<\/p>\n

JAVA<\/b><\/p>\n

REMARQUE\u00a0: TLS 1.2 a \u00e9t\u00e9 pris en charge pour la premi\u00e8re fois dans JDK 7 et sera celui par d\u00e9faut dans JDK 8\u00a0: https:\/\/blogs.oracle.com\/java-platform-group\/entry\/java_8_will_use_tls<\/p>\n

Utilisez la m\u00e9thode SSLContext.getInstance pour activer TLS.<\/strong><\/p>\n

Pour plus de d\u00e9tails sur l'utilisation de la m\u00e9thode SSLContext.getInstance, visitez\u00a0:<\/strong><\/p>\n

http:\/\/docs.oracle.com\/javase\/7\/docs\/api\/javax\/net\/ssl\/SSLContext.html#getInstance(java.lang.String)<\/p>\n

http:\/\/docs.oracle.com\/javase\/7\/docs\/api\/javax\/net\/ssl\/SSLContext.html#getInstance(java.lang.String,…<\/p>\n

http:\/\/docs.oracle.com\/javase\/7\/docs\/technotes\/guides\/security\/StandardNames.html#SSLContext<\/p>\n

Par exemple, pour utiliser le fournisseur de couche de s\u00e9curit\u00e9 par d\u00e9faut pour activer TLS, vous utiliserez\u00a0:<\/p>\n

objet = SSLContext.getInstance("TLS");<\/p>\n

Pour forcer TLS 1.2 tout en utilisant l'extension Java Secure Socket Extension (JSSE) de Sun, vous devez utiliser\u00a0:<\/strong><\/p>\n

objet = SSLConnect.getInstance("TLSv1.2", "SunJSEE");<\/p>\n

boucle<\/b>
<\/strong><\/strong><\/p>\n

Utilisez l'option CURLOPT_SSLVERSION pour activer TLS.<\/p>\n

Pour plus de d\u00e9tails sur l'utilisation de l'option CURLOPT_SSLVERSION, visitez\u00a0:<\/p>\n

http:\/\/curl.haxx.se\/libcurl\/c\/CURLOPT_SSLVERSION.html<\/p>\n

\u00c0 titre d'exemple, pour forcer cURL \u00e0 utiliser TLS 1.0 ou version ult\u00e9rieure, vous utiliseriez\u00a0:<\/p>\n

C\/C++\/C#\u00a0:<\/p>\n

curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);<\/p>\n

PHP\u00a0:<\/p>\n

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);<\/p>\n

Dans cURL 7.34.0 ou version ult\u00e9rieure, pour forcer TLS 1.2, vous utiliseriez\u00a0:<\/p>\n

C\/C++\/C#\u00a0:<\/p>\n

curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);<\/p>\n

PHP\u00a0:<\/p>\n

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);<\/p>\n

RailsCarma<\/strong><\/a> L'\u00e9quipe s'est pr\u00e9par\u00e9e en mode d\u00e9fense compl\u00e8te pour boucher tous les trous laiss\u00e9s ouverts par cette vuln\u00e9rabilit\u00e9. Nous avons appliqu\u00e9 les correctifs n\u00e9cessaires \u00e0 nos applications pour d\u00e9sactiver les options SSL\/TLS non s\u00e9curis\u00e9es.<\/p>\n

Les r\u00e9f\u00e9rences<\/strong><\/h3>\n

http:\/\/community.developer.authorize.net\/t5\/The-Authorize-Net-Developer-Blog\/Important-POODLE-Information-Updated\/ba-p\/48163<\/a><\/p>\n

http:\/\/arstechnica.com\/security\/2014\/10\/ssl-broken-again-in-poodle-attack\/<\/a><\/p>\n

https:\/\/zmap.io\/sslv3\/<\/a><\/p>\n

https:\/\/www.imperialviolet.org\/2014\/10\/14\/poodle.html<\/a><\/p>\n

http:\/\/blog.cryptographyengineering.com\/2014\/10\/attack-of-week-poodle.html<\/a><\/p>\n

https:\/\/blog.mozilla.org\/security\/2014\/10\/14\/the-poodle-attack-and-the-end-of-ssl-3-0\/<\/a><\/p>\n

http:\/\/www.theregister.co.uk\/2014\/10\/16\/poodle_analysis\/<\/a><\/p>\n

http:\/\/www.theregister.co.uk\/2014\/10\/14\/google_drops_ssl_30_poodle_vulnerability\/<\/a><\/p>\n

http:\/\/www.pcworld.com\/article\/2834015\/security-experts-warn-of-poodle-attack-against-ssl-30.html<\/a><\/p>\n

http:\/\/www.alertlogic.com\/blog\/poodle-man-middle-attack-sslv3\/<\/p>\n

https:\/\/www.us-cert.gov\/ncas\/alerts\/TA14-290A<\/a><\/p>\n

https:\/\/www.openssl.org\/~bodo\/ssl-poodle.pdf<\/a><\/p>\n

http:\/\/www.makeuseof.com\/tag\/stop-poodle-from-biting-your-browser\/<\/a><\/p>\n

https:\/\/community.qualys.com\/blogs\/securitylabs\/2014\/10\/15\/ssl-3-is-dead-killed-by-the-poodle-attack<\/a><\/p>\n

<\/h3>\n

D\u00e9sactiver le caniche<\/strong><\/h3>\n

https:\/\/www.linode.com\/docs\/security\/security-patches\/disabling-sslv3-for-poodle<\/a><\/p>\n

http:\/\/askubuntu.com\/questions\/537196\/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566<\/a><\/p>\n

Prenez contact avec nous.<\/a><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Abonnez-vous pour les derni\u00e8res mises \u00e0 jour<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\t\t\t\t\t