Encore des banques vulnérables à Poodle

C’était mi-octobre dernier ; Google détaillait une méthode d’attaque, dite Poodle, visant les communications chiffrées sur Internet, et exploitant certaines spécificités d’un protocole « obsolète et non sûr », SSL 3.0.

Comme l’expliquaient alors les équipes du géant du Web, « pour fonctionner avec des serveurs anciens, de nombreux clients TLS implémentent une danse de repli de versions », commençant par tenter d’établir la connexion chiffrée avec « la version de protocole la plus élevée supportée par le client ». En cas d’échec, le client réessaie avec des versions plus anciennes. Problème, cette descente de version peut être provoquée par des attaquants : « ainsi, si un attaquant qui contrôle le réseau entre le client et le serveur interfère avec toutes les tentatives offrant TLS 1.0 ou plus, les clients vont se confiner d’eux-mêmes à SSL 3.0. » Lequel s’appuie sur des mécanismes de chiffrement peu sûrs : « pour obtenir un chiffrement sûr, SSL 3.0 doit être totalement évité. »

Les corrections à appliquer sont connues. Mais pas encore assez largement déployées. Comme le relève le site de Qualys SSL Labs, dédié à la chasse aux vulnérabilités SSL, le service en ligne de la banque britannique Halifax est ainsi vulnérable à Poodle. Mais ce pas la seule : outre-Manche, Barclays est également dans ce cas, sans compter Tesco Bank.

En France, le site de Fortuneo est également vulnérable à Poodle, toujours selon les outils proposés par SSL Labs, tout comme celui de la Banque Postale, et celui de Sofinco. Et il en va de même pour celui que les impôts dédient aux particuliers.

De son côté, l’espace client de Groupama semble largement vulnérable aux attaques de type man-in-the-middle. Celui de Hello Bank supporte quant à lui toujours SSL3.