Nouvelle faille Poodle : SSL à nouveau gravement vulnérable

Alerte : une nouvelle grave faille a été trouvée dans le célèbre protocole SSL. Cette fois des versions plus récentes sont concernées.

La faille Poodle revient. Pour rappel, mi-octobre des spécialistes avaient découvert cette vulnérabilité qui affectait gravement le protocole SSL – plus exactement la version SSL 3.0. Les navigateurs s'étaient assez rapidement mobilisés pour mettre un terme au support de cette version du protocole.

Mais aujourd'hui, les mêmes chercheurs ont dû admettre que des versions plus récentes du même protocole étaient également vulnérables. Cette fois, même le protocole TLS (le nouveau nom de SSL, qui en désigne les versions plus récentes) est affecté, du moins certaines de ses implémentations. Du matériel fourni par F5 et A10 a notamment été pointé du doigt comme présentant la faille.

Mais d'après les experts, pas moins de 10% des sites web seraient actuellement vulnérables. Des sites de grands noms comme ceux de Bank of America et VMware, ou Accenture sont exposés. Mais les premiers patchs commencent à être distribués (celui de F5 notamment), et d'autres devraient rapidement suivre.

L'efficace outil mis en place par Qualys, SSL Server Test, permet de savoir si un site est vulnérable, à cette nouvelle version de Poodle comme à d'autres attaques visant SSL.

Mise à jour. Accenture a tenu à informer le JDN que son site n'était pas vulnérable. C'est vrai qu'un test le montre vulnérable et un autre non...

Faille / SSL