Trois chercheurs de Google Inc ont découvert une faille de sécurité dans la technologie de cryptage web largement utilisée, SSL. Selon eux, la faille « Poodle » pourrait permettre à des pirates de prendre le contrôle de comptes de courrier électronique, de services bancaires et d’autres services sur internet.
Les chercheurs ont baptisé cette nouvelle découverte « Poodle » (Caniche). Cette menace a incité les fabricants de navigateurs et de logiciels de serveur à informer leurs usagers mardi dernier, leur conseillant de désactiver l’utilisation de la source du bogue de sécurité, une ancienne norme de cryptage vieille de 18 ans connue sous le nom de SSL 3.0.
C’est la troisième fois cette année que les chercheurs ont découvert une vulnérabilité dans cette technologie web largement utilisée, à la suite du bug « Heartbleed » dans OpenSSL en Avril et « Shellshock » le mois dernier, dans un morceau de logiciel Unix appelé Bash.
Les experts en sécurité ont déclaré que les pirates ayant recourt à Poodle pourraient prendre le contrôle des comptes e-mail, bancaires, et de comptes de réseaux sociaux. Mais la menace ne serait pas aussi grande que celle des deux bugs précédents. L’attaque est « très compliquée » à mettre en place, nécessitant un accès priviligié aux comptes visés.
Google a proposé une solution technique pour sécuriser les serveurs Web, mais a ajouté sur son blog qu’il espère retirer éventuellement le support SSL 3.0 de tous ses logiciels clients. Mozilla aussi prévoit de désactiver le SSL 3.0 par défaut dans la prochaine version de son navigateur Firefox, qui sera publié le 25 Novembre.
Microsoft a publié un avis suggérant à ses clients de désactiver SSL 3.0 sur Windows pour serveurs et PC.
