Google décrit l'attaque Poodle exploitant la faille SSL 3.0

L'attaque Poodle démontrée par Google exploite la faille trouvée dans SSL 3.0.

Victime d'une faille, le protocole de sécurité SSL 3.0 devrait être désactivé, expliquent trois experts de Google. Mais de nombreux navigateurs l'utilisent toujours. L'équipe de Google a développé l'attaque Poodle pour décrire comment la vulnérabilité pouvait être exploitée.
« SSL 3.0 est un protocole obsolète et peu sûr », posent d'emblée les trois experts de Google qui ont identifié une faille de conception dans SSL 3.0. Cette version du protocole de sécurité remonte à près de 15 ans, mais elle reste encore très utilisée. La plupart de temps, elle a été remplacée par ses successeurs TLS 1.0, TLS 1.1 et TLS 1.2, mais les mises en oeuvre TLS restent souvent compatibles avec SSL 3.0 pour pouvoir fonctionner sans heurt avec les systèmes existants, rappellent les trois chercheurs de Google (Bodo Möller, Thai Duong et Krzysztof Kotowicz) dans undocument où ils décrivent l'attaque -baptisée Poodle- qu'ils ont développée pour exploiter la faille qu'ils ont identifiée.

Dans un billet, Bodo Möller explique que la quasi-totalité des navigateurs web supportent SSL et que pour contourner les bugs dans les serveurs https, ils tentent de nouveau les connexions qui ont échoué avec d'anciennes versions du protocole, dont SSL 3.0. Ainsi les attaquants qui provoquent des erreurs de connexion peuvent déclencher l'utilisation de SSL 3.0 et exploiter la faille. En désactivant le support de cette version du protocole, on peut réduire le risque mais se retrouver devant des problèmes de compatibilité. Les experts de Google recommandent donc de supporter le mécanisme TLS_FALLBACK_SCSV qui permet d'empêcher les attaquants d'utiliser SSL 3.0.

Google teste la suppression du retour vers SSL 3.0 sur Chrome

« Google Chrome et nos serveurs supportent TLS_FALLBACK_SCSV depuis février et nous avons donc la preuve qu'il peut être utilisé sans problème de compatibilité », indique Bodo Möller en ajoutant que des tests vont par ailleurs démarrer sur Chrome pour supprimer le retour vers SSL 3.0. « Cela va casser certains sites qui devront être mis à jour rapidement », prévient-il en concluant : « Dans les prochains mois, nous espérons supprimer entièrement le support de SSL 3.0 dans nos logiciels clients ».

Adam Langley, autre collaborateur de Google travaillant de son côté sur Chrome, a publié un billet complémentaire sur l'attaque Poodle qu'il compare à l'attaque Beast, une autre démonstration précédemment réalisée par ses collègues.