SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)
Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.
Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.
C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".
En savoir plus dans la vidéo suivante: ICI
POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).
Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.
Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.
Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .
Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.
PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web.
Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.
Alors allons vérifier la vulnérabilité au SSL Poodle Attaque, avec les Banques Canadienne et la Caisse Desjardins:
Les banques suivantes sont celles à service complet :
- Banque Royale du Canada (RBC)
- Banque Toronto-Dominion (TD)
- Banque Canadienne Impériale de Commerce (CIBC)
- Banque de Montréal (BMO)
- Banque Scotia (BNS)
- Banque nationale du Canada (BNC)
- Banque Laurentienne du Canada (BLC)
Plusieurs Banques Canadienne sont vulnérables a la faille poodle :
Dont, la Banque de Mtl, http://www.bmo.com/principal/particuliers
ou le site suivant:
https://www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain?product=2
, la banque de Mtl
La ScotiaBank :
http://www.scotiabank.com/gls/en/index.html#about
ou le http://www.scotiabank.com/ca/fr/0,,1650,00.html
Caisse Desjardins:
http://www.desjardins.com/
https://accesd.desjardins.com/fr/accesd/
Toute les autres grandes Banques Canadienne , Non !
Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com
La plupart
d'entre nous ont deux ou plusieurs navigateurs installés sur nos
systèmes. Contrairement à une solution Windows, il n'y a pas un patch
qui permettra de protéger nos navigateurs de caniche. Au lieu de cela,
nous devons faire des ajustements au sein de chaque navigateur,
avec Firefox, il faut aussi télécharger et utiliser un compte Mozilla
Add-on jusqu'à ce qu'une nouvelle version de Firefox arrive dans un mois
ou deux.
Soyez
conscient: Après avoir effectué ces réglages, vous trouverez peut-être
que les sites Web des entreprises ne fonctionnent pas correctement.
Donc, je recommande de faire les ajustements suivants à un navigateur et
en laissant un autre navigateur pour les sites qui sont toujours en
attente pour les changements nécessaires pour se protéger de caniche.
(Encore une fois, le correctif pour cette faille doit se faire sur les
deux extrémités de connexions Internet -. Le client et le serveur)
Les
modifications suivantes forcer votre navigateur à ne pas utiliser SSL
3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome:
le navigateur de Google, modifier le raccourci qui lance le navigateur,
l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par
sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un
clic droit sur l'icône et sélectionnez Propriétés. Sous l'onglet
Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir Figure 1). Il devrait ressembler à ceci (notez l'espace entre .exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Figure 1. Désactivez SSL 3.0 soutien dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A
partir de maintenant, lancer Chrome seulement avec ce raccourci édité.
Lancement du navigateur de toutes les icônes de lancement inédites ne
protège pas de caniche. Envisager cliquant sur l'onglet Général dans
la boîte de dialogue Propriétés Chrome et donner le raccourci édité un
nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable.
Ensuite, vous saurez toujours vous utilisez le raccourci droit.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste
, Firefox 34, qui devrait être publié le 25 novembre, permet de
désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le
(add-on site de téléchargement
), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra
de contrôler le support de SSL dans le navigateur. (Certains sites ont
recommandé d'ajuster les paramètres de Firefox dans le fichier de
configuration, mais Mozilla recommande l'utilisation de l'add-on à la
place.)
Figure 2. Pour désactiver SSL 3.0 soutien dans Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans IE, cliquez sur l'icône d'engrenage (Paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres pour la catégorie Sécurité, et ensuite chercher SSL 3.0. Décochez la case (voir Figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les ordinateurs sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Composants Windows \ Internet Explorer \ Internet \ page Avancé).
Figure 3. Dans IE, décochez la case "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un test simple, Poodletest.com
affiche un caniche si votre navigateur prend en charge encore SSL 3.0,
et un terrier Springfield si elle ne le fait pas.Donc vaut mieux un Terrier (TLS),qu'un vulnérable Caniche (SSL).
D'autre part, Qualys
SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL que votre navigateur prend en charge.
Comme
indiqué plus haut, certains sites commerciaux tels que les services
bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je
recommande de laisser SSL 3.0 support sur un navigateur; ça va être
plus rapide et plus sûr que d'ajuster à plusieurs reprises les
paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur
de petite entreprise, vous devez désactiver le support de SSL 3.0 pour
mieux protéger les postes de travail connectés et les téléphones basés
sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) une valeur DWORD du Registre comme suit:
- Dans votre éditeur de registre, allez dans: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
- Selon les protocoles, créer une clé appelée "SSL 3.0". Puis, sous cette clé, créez une autre clé appelée "serveur".
- Créez un DWORD nommée "Enabled" et lui donner une valeur de 0.
- Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais du Poodle/caniche exploits.
- Poodle/Caniche est une indication claire que le système TLS / SSL nous nous appuyons sur les besoins fonctionne. En fait, l'ensemble du système des protocoles et des certificats de sécurité pourrait bien être un château de cartes. Par exemple, HP a récemment annoncé que l'un de ses certificats a été utilisé pour signer des malwares. Comme indiqué dans une Krebs sur la sécurité après , HP révoquer le 21 octobre le certificat qu'il a utilisé pour une partie du logiciel fourni avec des produits plus anciens. Malheureusement, HP est pas complètement sûr de ce que l'impact que le changement sur la capacité de restaurer certains ordinateurs HP. Regardez pour mes futures mises à jour sur ce sujet.Un autre tour dans le duel sur la sécurité d'Internet. Comme il a été largement mentionné, Poodle/Caniche tue efficacement le protocole SSL 3.0. Cependant, il ya une lueur d'espoir à ce dernier gâchis de sécurité - il faut maintenant forcer tout le monde sur l'Internet pour finalement abandonner, un protocole non sécurisé désuet.
- SOURCE.: