Vulnérabilité de Secure Socket Layer (SSL) 3.0

Numéro : AL14-035
Date : Le 15 octobre 2014

Objet

L'objet de cet avis est d'attirer l'attention sur une vulnérabilité récemment découverte dans la version 3.0 de SSL.

Évaluation

Les détails de la vulnérabilité de Secure Socket Layer (SSL) 3.0 ont été publiés par des chercheurs de la sécurité. SSL 3.0 est considéré comme un protocole désuet et non sécuritaire qui a près de 15 ans, mais il est encore grandement supporté dans les navigateurs clients et les serveurs Web à des fins de compatibilité descendante. Une attaque technique connue nommée attaque « POODLE » (Padding Oracle On Downgraded Legacy Encryption) peut permettre de calculer le texte brut des connexions sécurisées par un attaquant dans le réseau au moyen d'une attaque de l'intercepteur visant à voler des renseignements comme des témoins HTTP « sécurisés » lorsque l'on utilise un remplissage de chaînage de chiffrements de blocs (CBC) non déterminé.

Les fournisseurs de logiciel n'ont pas encore lancé de correctifs pour aborder cette vulnérabilité, mais une solution de rechange est disponible pour atténuer temporairement ce problème.

La National Vulnerability Database (NVD) (anglais seulement) fournit un résumé de chaque vulnérabilité ainsi que des références à des avertissements, des solutions et des outils. Le CCRIC recommande de surveiller de près ce lien pour obtenir des mises à jour aux correctifs des fournisseurs.

CVE-2014-3566
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

Mesure suggérée

Le CCRIC recommande que les administrateurs de système déterminent leurs biens touchés et leurs interdépendances possibles avec les services essentiels de leur organisation, puis qu'ils mettent en oeuvre les mesures d'atténuation décrite ci‑dessous. Les serveurs destinés au public et les navigateurs Web clients doivent être abordés de manière prioritaire.  

Serveurs Web et navigateurs clients :

Références

https://www.openssl.org/~bodo/ssl-poodle.pdf
http://googleonlinesecurity.blogspot.ca/2014/10/this-poodle-bites-exploiting-ssl-30.html
http://marc.info/?l=openssl-dev&m=141333049205629&w=2
https://technet.microsoft.com/library/security/3009008.aspx
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566
https://access.redhat.com/articles/1232123

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :