Même si SSL 3.0 n’est presque plus utilisé, ce protocole représente une menace depuis la découverte d’une vulnérabilité critique.
Ce sont trois ingénieurs en sécurité de Google qui viennent de découvrir une vulnérabilité critique dans SSL 3.0. En provoquant une erreur sur le TLS et en contraignant le basculement sur SSL 3.0, cette faille peut être exploitée par le biais d’une attaque Man-In-The-Middle.
Âgé de plus de 15 ans, le protocole SSL 3.0 n’est presque plus utilisé, ce protocole reste supporté en support à TLS en cas d’erreur sur un échange. De fait, selon les ingénieurs de Google, il suffit que l’attaquant provoque une erreur dans TLS pour pouvoir exploiter cette faille.
Cette vulnérabilité serait d’autant plus critique que ces mêmes experts estiment qu’elle ne peut pas être corrigée. Dès lors, que faire ?
La tentation serait de désactiver SSL 3.0, ce qui pourrait entrainer des problèmes de compatibilité pour les sites et serveurs. Au lieu de faire cela, la solution recommandée pour les administrateurs est d’ajouter le support de TLS_FALLBACK_SCSV, un protocole bloquant la possibilité de contraindre un navigateur à basculer sur SSL 3.0, ou TLS 1.0 et 1.1.
Au niveau des navigateurs, Microsoft et Apple n’ont pas encore réagi alors que Mozilla annonce un correctif dans six semaines, avec la version 34 de Firefox. Pour ce qui est de Chrome, il suffit de lui donner le paramètre « –ssl-version-min=tls » pour désactiver SSL 3.0. Il est bon de préciser que cette désactivation pourrait entrainer quelques désagréments sur certains services.