Il est peu probable que vous ayez manqué la dernière alerte à la sécurité pour faire la une des journaux après BASH et Heartbleed..

POODLE (Padding Oracle On Downgraded Legacy Encryption) est une faille critique dans SSL 3.0 qui vient d’être découverte par les experts en sécurité de Google (bien qu’elle remonte à 15 ans). ).

Nous avons parlé à Itsik Mantin, directeur de la recherche sur la sécurité chez Imperva, à propos de cette dernière vulnérabilité et de sa gravité, ainsi que des tactiques d'atténuation..

TechRadar Pro: Comment fonctionne cette vulnérabilité?

Itsik Mantin: L'attaque cherche à détourner des sessions en extrayant des cookies de session protégés par SSL.

L'attaque fonctionne sur SSL 3.0, qui est rarement utilisé aujourd'hui, mais l'attaquant peut rétrograder la version de SSL à SSL 3.0, puis monter l'attaque..

Il est important de noter que les algorithmes de chiffrement n'ont pas été conçus pour protéger les données dans le cas d'un attaquant pouvant associer des données modifiables non sécurisées (URL de requête et paramètres, cookie non sécurisé) avec des données sécurisées (cookie de session), ce qui correspond exactement à l'utilisation de SSL. ces algorithmes.

BEAST et CRIME ont été corrigés, mais POODLE s’appuie sur ce mode d’utilisation pour lancer une autre attaque dans la rangée..

TRP: Comment cette attaque se classe-t-elle en termes de gravité??

JE SUIS: Les conditions requises pour que l'attaque soit applicable sont difficiles à obtenir.

En particulier, l'attaquant doit devenir un intermédiaire entre le client et le serveur attaqué, ainsi que pour générer, bloquer et modifier les messages du client à destination du serveur, et inversement..

En outre, l'attaque nécessite un contournement du navigateur, la règle d'origine (SOP), qui n'est pas expliquée dans la recherche..

TRP: Quelles stratégies d'atténuation conseilleriez-vous??

JE SUIS: L’approche la plus courante pour devenir l’homme du milieu consiste à convaincre la victime de se connecter à votre réseau Wi-Fi. L'implication immédiate pour l'utilisateur moyen est que, lorsqu'il est connecté à un réseau Wi-Fi non sécurisé, il doit supposer que sa navigation peut être non sécurisée..

Je pense que la chose la plus importante du point de vue de l'utilisateur est d'être extrêmement prudent lors de la connexion à des réseaux non fiables, en particulier le Wi-Fi ouvert dans les espaces publics, et d'éviter de visiter des sites sensibles (par exemple, des applications bancaires)..

Je pense qu’une chose à ne pas prendre en compte est de passer de AES à RC4 lors de l’utilisation de SSL, comme cela a été recommandé comme mesure de prévention contre BEAST..

  • 6 menaces de sécurité plus mortelles que Heartbleed ou Shellshock