Une équipe de Google a mis en lumière une faille de sécurité dans le protocole SSL utilisé pour chiffrer les échanges de données entre un navigateur et un site web. Mise en oeuvre, elle permet à un malandrin de se faire passer pour sa victime et d'accéder à des données privées sur un service tel qu'un webmail ou le serveur d'une banque.
Ce nouvel angle d'attaque a été baptisé POODLE pour Padding Oracle On Downgraded Legacy Encryption. Il utilise une ancienne version 3 du protocole SSL, sortie il y a 18 ans, qui assure le chiffrement d'une transaction. Une autre méthode plus robuste et plus répandue existe néanmoins : TLS 1.0.
Cependant des sites web utilisent toujours SSLv3 pour assurer une compatibilité avec Internet Explorer 6 dans Windows XP. Surtout la technique sait simuler un problème de connexion et forcer un navigateur à basculer de TLS à SSLv3.
Le principe ensuite de cette attaque est de s'intercaler entre l'internaute et son site web de destination au moyen par exemple d'un hotspot Wi-Fi monté de toute pièce. L'attaquant va alors tenter de reconstruire le cookie d'identification utilisé pour l'authentification auprès du site. Ars Technica, qui détaille la méthode, décrit un procédé qui exige de la patience et des essais répétés pour réussir à obtenir toutes les pièces de ce puzzle.
Mais une fois le cookie reconstitué dans son intégralité, le hacker peut se faire passer pour sa victime et profiter du fait que SSL 3 effectue moins de contrôles d'identité que TLS 1.0.
Côté administrateurs de sites web, la consigne est d'abandonner SSLv3, lequel est utilisé de façon marginale aujourd'hui. Même chose pour les navigateurs Web, Mozilla va le faire pour Firefox 34 prévu le 25 novembre (la 33 actuelle est toutefois immunisée). Dans Internet Explorer 11 cela peut être fait manuellement dans les réglages avancés. Chez Google il est prévu de modifier Chrome de manière à ce qu'il ne puisse plus faire cette bascule entre les protocoles, quitte à être incompatible avec certains sites qui devront être mis à jour. Une parade est documentée pour la version Windows de Chrome mais elle implique, pour être efficace, d'ouvrir le navigateur depuis un raccourci sur le bureau et non par un lien externe. Reste enfin le cas de Safari qui devra être mis à jour puisqu'il est déclaré comme vulnérable.
