Une nouvelle faille critique affecte SSL : Poodle

L'exploitation d'une grave vulnérabilité du SSL 3.0 permet d'accéder à des informations censées être chiffrées. Les acteurs du web commencent à réagir

Poodle est le nom d'une nouvelle faille découverte par trois spécialistes salariés de Google. Il s'agit d'une vulnérabilité affectant SSL 3.0 – un protocole vieux de 15 ans qui sécurise les communications HTTP.

La faille est particulièrement grave car son exploitation permet d'accéder à des informations censées être chiffrées, via une attaque de type man-in-the-middle. En outre, le SSL a beau avoir été remplacé par le TLS, il n'en reste pas moins que ce SSL 3.0 est encore largement supporté côté serveur comme côté client, ce qui est suffisant pour ouvrir la voie à des attaques.

Mais sites web comme navigateurs ont d'ores et déjà commencé à réagir, et certains acteurs majeurs comme Linkedin ou Mozilla, entre autres, ont annoncé qu'ils ne supporteraient plus SSL 3.0. D'autres solutions ont aussi été proposées, par Google, ou par d'autres spécialistes qui donnent d'utiles informations pour les internautes comme pour les sites web.

Serveurs / Faille