Faille dans SSL: gare au "caniche"
Le surnom "Poodle" a aussitôt inspiré les internautes, qui en ont profité pour faire des blagues à base de caniche. Ici, le chien dit "Je veux tes cookies!" du nom de ces petits fichiers déposés sur votre ordinateur quand vous naviguez sur Internet. - Al Billings - Twitter
Trois ingénieurs de Google viennent de mettre la main sur une faille dans SSL 3.0 permettant de réaliser des attaques man-in-the middle et de déchiffrer une partie du trafic sécurisé. Suffisamment, en tous les cas, pour pouvoir rentrer dans des comptes de messagerie par exemple.
Le nom attribué à la faille est à coucher dehors: "Padding Oracle On Downgraded Legacy Encryption". En abrégé, cela fait "Poodle", soit "Caniche" en anglais, ce qui est déjà mieux. Techniquement, cette vulnérabilité est assez complexe. Elle s’appuie sur le fait que le mécanisme cryptographique CBC (Cipher Block Chaining) de SSL v3 est trop faible et peut être cassé (pour les détails mathématiques, lire l’article scientifique correspondant).
Pas grave, me direz-vous, car SSL v3 est un protocole obsolète qui date des années 90 et qui est très peu utilisé de nos jours. C’est vrai, mais il y a un hic : les navigateurs qui implémentent les protocoles plus récents tels que TLS 1.0, TLS 1.1 ou TLS 1.2 peuvent, dans certains cas, être amenés à se mettre en mode SSL v3 par souci de rétrocompatibilité. Les spécialistes appellent cela le "downgrade dance", la danse du retour à la version antérieure.
Les plus lus
Kendji Girac hospitalisé à Bordeaux: ce que l'on sait sur sa grave blessure par balle
"Pourquoi ne pas protéger l'espace aérien ukrainien?": Zelensky s'interroge après l'aide de la France en Israël
Donald Trump jugé au pénal: à quoi faut-il s'attendre après la sélection des jurés?
Lieu, date, heure… sur Tinder, vous pouvez prévenir votre entourage de votre rendez-vous
MMA: la date du grand retour de Doumbè est connue (son adversaire également)