Poodle, l’autre vulnérabilité qui menace SSL

Google vient de détailler une méthode d’attaque, dite Poodle, visant les communications chiffrées sur Internet, et exploitant certaines spécificités d’un protocole « obsolète et non sûr », SSL 3.0.

Comme l’expliquent les équipes du géant du Web, « pour fonctionner avec des serveurs anciens, de nombreux clients TLS implémentent une danse de repli de versions », commençant par tenter d’établir la connexion chiffrée avec « la version de protocole la plus élevée supportée par le client ». En cas d’échec, le client réessaie avec des versions plus anciennes. Problème, cette descente de version peut être provoquée par des attaquants : « ainsi, si un attaquant qui contrôle le réseau entre le client et le serveur interfère avec toutes les tentatives offrant TLS 1.0 ou plus, les clients vont se confiner d’eux-mêmes à SSL 3.0. » Lequel s’appuie sur des mécanismes de chiffrement peu sûrs : « pour obtenir un chiffrement sûr, SSL 3.0 doit être totalement évité. »

Google propose ensuite des corrections à appliquer tant côté client que serveur afin d’éviter de laisser les connexions vulnérables à l’attaque Poodle. Chrome et les serveurs du géant du Web sont déjà configurés de manière appropriée.