Pour gérer vos consentements :
Categories: Cloud

SSL 3.0 : Google et Microsoft vont couper le cordon

Voici quelques semaines, les équipes de Google révélaient une vulnérabilité dans SSL 3.0, ancienne version – 18 ans d’âge – du protocole de chiffrement utilisé notamment pour sécuriser les connexions aux sites Web.

En réponse à cette découverte, le groupe Internet a intégré un correctif dans la dernière version de son navigateur Web (Chrome 38). Prochaines étapes : la désactivation de SSL 3.0 dans Chrome 39 – actuellement en bêta – et sa suppression définitive à partir de la mouture suivante du butineur.

Mozilla a annoncé une initiative similaire pour Firefox 34, dont la disponibilité générale en version stable est prévue pour le 25 novembre. De son côté, Apple a déjà patché Safari.

Microsoft suit la tendance avec un utilitaire FixIT applicable à toutes les versions d’Internet Explorer encore supportées (de la 6 à la 11). La firme en profite pour souligner que SSL 3.0 sera désactivé dans les prochaines moutures de son navigateur Web. D’autres services en ligne comme Office 365 et Azure seront concernés à partir du 1er décembre.

Répertoriée CVE-2014-3566, la faille en question est considérée d’une moindre importance par rapport à Shellshock et Heartbleed, mais elle représente tout de même une menace majeure. Un pirate qui parvient à intercepter le trafic acheminé entre un poste client et un serveur
(via une attaque de type « man-in-the-middle » exploitant par exemple un point Wi-Fi malveillant) peut ensuite le déchiffrer et récupérer des informations comme les cookies de session. Ces derniers permettent d’accéder à des services en ligne sécurisés sans disposer du mot de passe de l’utilisateur, aussi longtemps que celui-ci ne se déconnecte pas, note Silicon.fr.
La brèche n’est présente que dans la révision 3.0 du protocole SSL, encore très répandue, bien que progressivement remplacée par ses successeurs TLS 1.0, 1.1 et 1.2. Côté utilisateur, il est possible de la désactiver dans Chrome avec la commande –ssl-version-min=tls1. Dans Firefox, il faut mettre à 1 la valeur correspondant à security.tls.version.min.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?

Crédit photo : Gunnar Pippel – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago