Quand les gens n'aiment-ils pas un chiot? Quand ils savent que ce n'est pas un chiot, mais un exploit de navigateur visant à voler leurs informations vitales. Le POODLE ( P add O rle and D Ecrypted L egacy E ncryption) dont nous parlons est une attaque de sécurité sérieuse.
Comme un exploit de sécurité, il peut affecter tous les navigateurs Web, et donc l'un d'entre nous. Découvrons ce qu'est POODLE, ce qu'il fait, et ce que vous pouvez faire pour l'empêcher de vous mordre.
Informations de fond
Pour comprendre POODLE, vous devez en savoir un peu plus sur SSL et TLS. Qu'est-ce que HTTPS et Comment activer les connexions sécurisées par défaut Qu'est-ce que HTTPS et Comment activer les connexions sécurisées Par défaut Les problèmes de sécurité se répandent largement et atteignent le premier rang l'esprit de tout le monde. Les termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et sont non seulement compris, mais aussi utilisés par ... Lire la suite. Ce sont deux protocoles cryptographiques qui ont été développés pour aider à protéger vos communications Web importantes. Lorsque vous accédez à un site Web et que vous voyez HTTPS: // avant l'adresse Web, vous utilisez SSL / TLS. SSL (Secure Socket Layer) et TLS (Secure Security Security) sont deux protocoles très différents, mais la plupart des gens les regroupent et les appellent SSL. SSL a été remplacé par le protocole TLS il y a une dizaine d'années comme norme de facto pour la cryptographie, mais SSL est encore largement utilisé. C'est ce qui rend POODLE dangereux.
Lorsque vous visitez un site Web, l'ordinateur qui vous sert la page (serveur Web) est capable de plusieurs niveaux de sécurité cryptographique, de TLSv1.2, le protocole le plus récent et sécurisé, à SSLv3, le protocole le plus ancien et le moins sécurisé. Cela permet à votre navigateur et au serveur Web de se connecter au même protocole pour pouvoir parler en toute sécurité. C'est la façon fondamentale dont les navigateurs Web et les serveurs essaient d'empêcher les attaques de l'homme dans le milieu. Qu'est-ce qu'une attaque de l'homme dans le milieu? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Lire la suite, comme POODLE.
Que fait POODLE?
POODLE essaie de forcer la connexion entre votre navigateur Web et le serveur à rétrograder vers SSLv3. Si c'est le cas, l'attaquant peut obtenir les informations en texte brut de la communication. Cela signifie qu'ils peuvent accéder aux cookies qui sont souvent utilisés pour stocker des informations, dont certaines peuvent être personnelles et sensibles. Qu'est-ce qu'un cookie et qu'est-ce que cela a à voir avec ma vie privée? [MakeUseOf explique] Qu'est-ce qu'un cookie et qu'est-ce que cela a à voir avec ma vie privée? [MakeUseOf Explains] La plupart des gens savent qu'il y a des cookies dispersés sur Internet, prêts et prêts à être mangés par ceux qui peuvent les trouver en premier. Attends quoi? Cela ne peut pas être juste. Oui, il y a des cookies ... Lisez plus. Ce que l'agresseur fait avec cette information est une conjecture, mais ce n'est jamais rien de bon.
A la hausse, l'attaque POODLE n'est pas le moyen le plus simple pour un attaquant d'obtenir vos informations. Cela peut prendre des centaines voire des milliers de tentatives pour que l'attaque POODLE fonctionne sur quelqu'un. Donc, c'est quelque chose à se préoccuper, mais ce n'est pas nécessairement aussi mauvais que le récent problème Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite .
Comment puis-je me protéger de POODLE?
Heureusement, c'est une chose assez facile à faire. Premièrement, voyons d'abord si vous êtes POODLE vulnérable. Allez simplement sur le site POODLETest.com. Si vous voyez un caniche, vous avez un peu de nettoyage à faire. Si vous voyez le Springfield Terrier, votre navigateur est bon à faire. Pour ceux qui sont plus avertis, consultez le test client SSL de Qualys SSL Labs. Il fournit des détails plus détaillés.
Le principe sous-jacent est de désactiver le support SSLv3 dans votre navigateur Web. Si elle est désactivée, POODLE ne peut PAS rétrograder votre navigateur. Regardons comment faire cela dans Chrome, Internet Explorer et Firefox.
Sachez que de nombreux sites Web souhaitent toujours utiliser SSLv3. Si vous le désactivez, ces sites pourraient ne pas fonctionner aussi bien pour vous que par le passé. Cela ne ferait pas de mal d'envoyer à cette entreprise un bon courriel avec un lien vers cet article afin qu'ils soient conscients du problème. Heureusement, ils vont passer à TLS et tout ira bien à nouveau.
Chrome
Trouvez le raccourci que vous utilisez pour lancer Chrome. Cliquez-droit dessus, puis cliquez sur Propriétés .
Lorsque la fenêtre Propriétés s'ouvre, recherchez le champ nommé Target . Il devrait y avoir un long chemin vers l'emplacement du fichier Chrome. Cela devrait ressembler à: "C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" ou "C: \ Program Files \ Google \ Chrome \ Application \ chrome.exe" .
Cliquez juste après le dernier guillemet et appuyez sur votre barre d'espace pour créer un espace. Maintenant, tapez ce qui suit:
--ssl-version-min = tls1
Vous pouvez aussi copier et coller cela d'ici. Ce que cela indique à Chrome de faire est d'utiliser TLSv1 comme la version la plus basse de sécurité pour votre navigateur Chrome. Cliquez sur le bouton Appliquer en bas de la fenêtre, et la prochaine fois que vous ouvrirez Chrome, il sera testé POODLE.
Internet Explorer
Ouvrez votre navigateur Internet Explorer et cliquez sur l'icône Paramètres . C'est celui qui ressemble à un engrenage. Maintenant, cliquez sur les options Internet . Une nouvelle fenêtre s'ouvrira.
À l'extrême droite, vous verrez un onglet intitulé Avancé - cliquez dessus. Dans la zone Paramètres, faites défiler jusqu'à voir les options Utiliser SSL 2.0 et Utiliser SSL 3.0 .
S'il y a une coche dans ces deux cases, décochez-les en cliquant dessus. Assurez-vous que les cases intitulées Utiliser TLS 1.o, Utiliser TLS 1.1 et Utiliser TLS 1.2 sont cochées. (Si vous ne disposez pas des trois boîtes TLS, vous devez mettre à jour votre Internet Explorer.) Cliquez ensuite sur le bouton Appliquer et sur le bouton OK . Votre Internet Explorer est maintenant éprouvé POODLE.
Firefox
Si vous êtes un fan de Firefox, voici comment aider le renard à déjouer le POODLE. Rendez-vous simplement sur la page Add-On de la version 1.2 de SSL Version Control de Firefox, puis téléchargez et installez le module complémentaire SSL Version Control 0.2. C'est si facile.
Firefox a également annoncé que sa prochaine version, Firefox 34, désactivera la prise en charge de SSLv3. Cependant, cette version ne sera pas publiée avant novembre, selon leur site Web.
POODLE sera poché
Une fois que la majorité des gens POODLE-preuve de leurs navigateurs et la majorité des serveurs web cessent d'utiliser SSLv3, POODLE ne sera plus un problème. Il existe également un outil appelé TLS_FALLBACK_SCSV qui a été développé et que les serveurs Web et les programmeurs de navigateur peuvent implémenter pour aider. Malheureusement, cet outil nécessite à la fois le serveur Web et le navigateur pour l'avoir. Cela prendra un certain temps pour tout le monde à mettre en œuvre. Ce n'est qu'alors que SSLv3 passera à la trappe, comme il aurait dû le faire il y a dix ans. Passez le mot et faites du Web un endroit plus sûr.
Crédits image: Caniche en colère, image vectorielle HTTPS via Shutterstock.