Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé vulnérabilité POODLE. Afficher tous les messages
Aucun message portant le libellé vulnérabilité POODLE. Afficher tous les messages

jeudi 20 novembre 2014

HTTPS: Le chiffrement TLS/SSL en 30 secondes en 2015

Hacktivistes et firmes high-tech veulent «chiffrer tout le Web»


L'EFF, Mozilla, Cisco, Akamai et IdenTrust vont proposer des certificats SSL gratuits et qui ne nécessiteraient que trente secondes pour être installés. Objectif : généraliser l’usage du protocole HTTPS.


Tous les défenseurs des droits civiques sont unanimes : pour protéger la vie privée des internautes, il faut renforcer le chiffrement des communications. Le problème, c’est que de nombreux services en ligne ne proposent même pas les bases du chiffrement Web, à savoir HTTPS.
Les hacktivistes d’Electronic Frontier Foundation (EFF) viennent de s’associer à Mozilla, Cisco, Akamai, IdenTrust et l’université du Michigan pour tenter de généraliser l’usage de ce protocole à l’ensemble de la Toile. Ensemble, ces différents acteurs vont créer une nouvelle autorité de certification baptisée « Let’s encrypt ». Son objectif est de permettre aux administrateurs de site de percevoir gratuitement des certificats de chiffrement TLS/SSL et, surtout, de pouvoir les installer de manière simple. « Pour de nombreux administrateurs, obtenir ne serait-ce qu’un certificat de base est déjà compliqué. Le processus de demande peut être source de confusion. Son obtention coûte de l’argent. C’est difficile de l’installer correctement. Sa mise à jour est douloureuse », peut-on lire dans un communiqué du site letsencrypt.org.
Selon l'EFF, un développeur web doit actuellement investir entre une et trois heures de temps pour activer le chiffrement TLS/SSL pour la première fois. Avec l’initiative « Let’s encrypt », l’objectif est de réduire ce délai à 30 secondes maximum. Pour cela, il suffira d’installer un assistant logiciel créé spécialement à cet effet. Techniquement, cet outil repose sur un protocole innovant développé par EFF. Baptisé ACME, il est capable d’automatiser l’approvisionnement et l’installation de certificats.
Le service « Let’s encrypt » sera disponible en été 2015.
Source.:

samedi 18 octobre 2014

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.




Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

Voici un exemple:



Si possible, réglez la version minimale de SSL pour votre navigateur (mettons I.E.)qui soutiendra le plus sécure qui est le TLS a la version 1. Autrement dit,si ton navigateur soutient la dernière version du très sécure TLS 1.0(ci-dessus la propriété de internet explorer) ,mais que ton site web lui le SSL 3.0, bien tu es dans marde !(faut mettre minimum le SSL en version 1.0 ou 2.0 lol ! )

Scott Helme a utilement décrit comment désactiver SSL 3.0 dans tous les principaux navigateurs et plates-formes de serveur ICI .




Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: Dans le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir la figure 1). Elle devrait ressembler à quelque chose comme ceci (notez l'espace entre exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1: Désactiver SSL 3.0 support dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci modifié. Lancement du navigateur à partir des icônes de lancement inédites ne fournira pas de protection de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le droit raccourci.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2: Pour désactiver SSL 3.0 support de Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans Internet Explorer, cliquez sur l'icône d'engrenage (paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres à la catégorie de sécurité, et ensuite chercher Utiliser SSL 3.0. Décochez la case (voir la figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les PC sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Windows Components \ Internet Explorer \ Internet \ Page avancée).
Disable SSLv3 in IE
Figure 3 Dans IE, décochez "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; s'attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un simple test, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle n'existe pas. D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, de créer une clé appelée "SSL 3.0." Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez une valeur DWORD appelée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais de caniche exploits.



REF.: