Une nouvelle version de la faille POODLE affecte cette fois le protocole TLS
10% des sites web les plus populaires sont vulnérables
Le 2014-12-10 08:45:17, par Michael Guilloux, Chroniqueur Actualités
Des ingénieurs de Google ont découvert, il y a environ deux mois, une faille baptisée POODLE, qui a affecté le protocole vieillissant SSLv3. Cette faille a permis à des pirates de mener des attaques de l’Homme Du Milieu (HDM). Il s’agit d’une forme de piratage visant à intercepter le trafic entre le navigateur d'un utilisateur et un site HTTPS pour déchiffrer des informations sensibles, comme les cookies d'authentification de l'utilisateur. Suite à la divulgation de cette information, certains éditeurs de navigateurs ont supprimé le support SSL définitivement de leurs navigateurs.
Cependant, ces mesures préventives n'ont pas fait disparaître la vulnérabilité des sites. En effet, les mêmes chercheurs viennent de réaliser que cette faille pourrait aussi affecter les implémentations du protocole TLS, jusque-là, supposé pouvoir contrecarrer l'attaque. La faille POODLE a été redirigée vers TLS et sa mise en œuvre semble beaucoup plus simple.
« L'impact de ce problème est similaire à celui de POODLE, avec l'attaque étant légèrement plus facile à exécuter, pas besoin de déclasser les clients modernes jusqu'à SSL 3 d'abord, TLS 1.2 fera très bien l’affaire, » a écrit Ivan Ristic, directeur de la sécurité chez Qualys, dans un billet de blog intitulé « POODLE mord TLS ». « Les cibles principales sont les navigateurs, parce que l'attaquant doit injecter un JavaScript malveillant pour lancer l'attaque. Une attaque réussie utilisera environ 256 demandes pour déchiffrer un caractère de cookie ou seulement 4096 demandes pour un cookie de 16 caractères. Cela rend l'attaque tout à fait pratique.»
Les webmestres qui avaient corrigé leurs sites suite à la découverte de la première faille devront donc à nouveau tester leur vulnérabilité à cette nouvelle variante de POODLE. En effet, plusieurs sites web sont probablement vulnérables à cause de l’utilisation de certains produits affectés.
Adam Langley, chercheur en sécurité de Google, a mis en place un outil qui permet de détecter les produits affectés. Ce dernier a découvert que les répartiteurs de charges F5 et A10 sont affectés, mais qu’ils pourraient ne pas être les seuls produits concernés : « Je ne suis pas tout à fait sûr d'avoir trouvé tous les fournisseurs affectés, mais maintenant que le problème est rendu public, tout autre produit affecté sera rapidement détecté », a-t-il précisé dans un billet de blog.
La firme de sécurité Qualys a mis en place SSL Server test, un test gratuit qui permet de tester la vulnérabilité des sites web à cette nouvelle variante de POODLE. Le test a montré que 10% des sites les plus visités, y compris ceux détenus ou exploités par Bank of America, VMare, le département US des Vétérans et Accenture, sont vulnérables. Les produits F5 étant pointés du doigt à cause de leur popularité, F5 vient de publier des correctifs pour ses produits.
Source : Qualys Blog
Et vous ?
Cependant, ces mesures préventives n'ont pas fait disparaître la vulnérabilité des sites. En effet, les mêmes chercheurs viennent de réaliser que cette faille pourrait aussi affecter les implémentations du protocole TLS, jusque-là, supposé pouvoir contrecarrer l'attaque. La faille POODLE a été redirigée vers TLS et sa mise en œuvre semble beaucoup plus simple.
« L'impact de ce problème est similaire à celui de POODLE, avec l'attaque étant légèrement plus facile à exécuter, pas besoin de déclasser les clients modernes jusqu'à SSL 3 d'abord, TLS 1.2 fera très bien l’affaire, » a écrit Ivan Ristic, directeur de la sécurité chez Qualys, dans un billet de blog intitulé « POODLE mord TLS ». « Les cibles principales sont les navigateurs, parce que l'attaquant doit injecter un JavaScript malveillant pour lancer l'attaque. Une attaque réussie utilisera environ 256 demandes pour déchiffrer un caractère de cookie ou seulement 4096 demandes pour un cookie de 16 caractères. Cela rend l'attaque tout à fait pratique.»
Les webmestres qui avaient corrigé leurs sites suite à la découverte de la première faille devront donc à nouveau tester leur vulnérabilité à cette nouvelle variante de POODLE. En effet, plusieurs sites web sont probablement vulnérables à cause de l’utilisation de certains produits affectés.
Adam Langley, chercheur en sécurité de Google, a mis en place un outil qui permet de détecter les produits affectés. Ce dernier a découvert que les répartiteurs de charges F5 et A10 sont affectés, mais qu’ils pourraient ne pas être les seuls produits concernés : « Je ne suis pas tout à fait sûr d'avoir trouvé tous les fournisseurs affectés, mais maintenant que le problème est rendu public, tout autre produit affecté sera rapidement détecté », a-t-il précisé dans un billet de blog.
La firme de sécurité Qualys a mis en place SSL Server test, un test gratuit qui permet de tester la vulnérabilité des sites web à cette nouvelle variante de POODLE. Le test a montré que 10% des sites les plus visités, y compris ceux détenus ou exploités par Bank of America, VMare, le département US des Vétérans et Accenture, sont vulnérables. Les produits F5 étant pointés du doigt à cause de leur popularité, F5 vient de publier des correctifs pour ses produits.
Source : Qualys Blog
Et vous ?