Bonjour,
Il faut désactiver surtout le SSL toute version du côté des
serveurs.
Ce n'est pas pour les quelques personnes qui utilisent encore un IE6
non mis à jour sur XP que l'on va mettre en danger tout ceux qui ont
des navigateurs récents.
Normalement rien qu'avec le choix d'algorithmes sécurisés la
compatibilité avec les vieux navigateurs est déjà cassée et si tel
est le cas le serveur est déjà vulnérable à d'autres failles.
Conclusion c'est un argument de plus pour couper définitivement SSL.
Le 15/10/2014 09:20, Pierre Schweitzer a écrit :
Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il
est
important de noter que c'est une faille dans le protocole et non
dans
une implémentation du protocole.
Les détails sont dévoilés ici :
http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting-ssl-30.html
Pour résumer ce qui y est dit, il faut désactiver SSLv3 dans le
meilleur des cas, ou au moins, empêcher les clients de passer de
TLS à
SSLv3 en cas d'erreur réseau (ce qui est une technique pour
exploiter
la faille).
Par ailleurs, on parle beaucoup de HTTP comme protocole vulnérable
(ce
qui est un fait), mais la faille s'appuie notamment sur des bouts
de
texte connus pour avoir le reste (donc, récupérer les cookies par
exemple sur HTTP). Cela veut dire que ça marche sur d'autres
protocoles verbeux, type IRC (pour récupérer le mot de passe).
Un client n'est vulnérable que si on est capable de sniffer ses
paquets, donc wifi, MITM, etc.
Debian (par exemple), va désactiver le support de SSLv3 sur
Iceweasel.
Bonne journée,
>
_______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/