SSL 3.0 : Google prévient d'une vulnérabilité

Google explique avoir découvert une faille au sein du protocole de sécurité SSL en version 3.0, permettant à un hacker de récupérer des données censées être chiffrées.

La couche de sécurité SSL, permettant de chiffrer les transactions sur Internet, a été remplacée depuis plusieurs années par le protocole TLS en version 1.0, 1.1, et 1.2. Toutefois, les implémentations de TLS assurent encore à ce jour une rétro-compatibilité vers SSL 3.0. D'après Google, celle-ci permettrait à des hackeurs de casser le chiffrage de la transaction et donc de récupérer les données.

Lorsqu'une connexion sécurisée est établie via le protocole TLS entre un ordinateur et un serveur tiers, les deux parties tentent d'utiliser par défaut la dernière version en date, en l'occurrence TLS 1.2. Toutefois, si un problème survient, une version antérieure assurera le chiffrement. Selon Google une personne contrôlant le réseau serait même en mesure de baser le transfert via SSL 3.0 afin de déchiffrer les cookies HTTP.

Comme solution Google demande aux administrateurs de serveurs de désactiver SSL 3.0. La firme californienne ajoute qu'elle testera une version de Chrome sans la prise en charge de SSL 3.0. Mozilla a expliqué que la version 34 de Firefox, attendue fin novembre désactivera SSL 3.0 par défaut. En attendant, il est d'ores et déjà possible de procéder à cette manipulation en installant cet add-on.

Cette vulnérabilité n'est pas sans rappeler la faille Heartbleed, exploitant une faille au sein d'OpenSSL sur laquelle se basaient les versions 1.01 et 1.02 bêta du protocole TLS.