Categories: Cloud

SSL 3.0 : Google et Microsoft vont couper le cordon

Voici quelques semaines, les équipes de Google révélaient une vulnérabilité dans SSL 3.0, ancienne version – 18 ans d’âge – du protocole de chiffrement utilisé notamment pour sécuriser les connexions aux sites Web.

En réponse à cette découverte, le groupe Internet a intégré un correctif dans la dernière version de son navigateur Web (Chrome 38). Prochaines étapes : la désactivation de SSL 3.0 dans Chrome 39 – actuellement en bêta – et sa suppression définitive à partir de la mouture suivante du butineur.

Mozilla a annoncé une initiative similaire pour Firefox 34, dont la disponibilité générale en version stable est prévue pour le 25 novembre. De son côté, Apple a déjà patché Safari.

Microsoft suit la tendance avec un utilitaire FixIT applicable à toutes les versions d’Internet Explorer encore supportées (de la 6 à la 11). La firme en profite pour souligner que SSL 3.0 sera désactivé dans les prochaines moutures de son navigateur Web. D’autres services en ligne comme Office 365 et Azure seront concernés à partir du 1^er décembre.

Répertoriée CVE-2014-3566, la faille en question est considérée d’une moindre importance par rapport à Shellshock et Heartbleed, mais elle représente tout de même une menace majeure. Un pirate qui parvient à intercepter le trafic acheminé entre un poste client et un serveur

(via une attaque de type « man-in-the-middle » exploitant par exemple un point Wi-Fi malveillant) peut ensuite le déchiffrer et récupérer des informations comme les cookies de session. Ces derniers permettent d’accéder à des services en ligne sécurisés sans disposer du mot de passe de l’utilisateur, aussi longtemps que celui-ci ne se déconnecte pas, note Silicon.fr.

La brèche n’est présente que dans la révision 3.0 du protocole SSL, encore très répandue, bien que progressivement remplacée par ses successeurs TLS 1.0, 1.1 et 1.2. Côté utilisateur, il est possible de la désactiver dans Chrome avec la commande –ssl-version-min=tls1. Dans Firefox, il faut mettre à 1 la valeur correspondant à security.tls.version.min.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?

Crédit photo : Gunnar Pippel – Shutterstock.com