Blogue

Protéger vos données sensibles de la vulnérabilité POODLE

Protéger vos données sensibles de la vulnérabilité POODLE

     En Septembre 2014, Google a annoncé qu’ils avaient trouvé un bogue dans le protocole SSL 3.0 qui laisse vos données cryptées vulnérables aux pirates. Essentiellement, la vulnérabilité « POODLE » (Padding Oracle On Downgraded Legacy Encryption) permet à quelqu’un de voir les informations échangées entre un utilisateur et un site crypté.

     POODLE fonctionne en indiquant au client que le serveur ne supporte pas le protocole TLS (Transport Layer Security), forçant ainsi une mise à niveau vers une connexion sécurisée inférieure à SSL 3.0. De là, le pirate peut décrypter les témoins de sessions (cookies) HTTP « sécurisés ».

     Pour corriger la vulnérabilité POODLE, Google recommande de désactiver le support SSL 3.0 sur les serveurs et les clients. Lisez la suite pour apprendre à protéger votre système contre la faille POODLE.

Comment désactiver le SSL 3.0 sur votre VPS ou sur votre serveur dédié:

Utilisateurs dans un environnement Linux :

     Désactiver le SSLv3 dans la configuration d’Apache en ajoutant la ligne suivante dans votre fichier de configuration (httpd.conf):

	SSLProtocol All -SSLv2 -SSLv3 

Utilisateurs dans un environnement Windows :

     Effectuez ce qui suit.

  1. Cliquer sur Démarrer > Exécuter. Écrire regedit, et cliquer sur OK.
  2. Localiser cette clef ou dossier dans l’éditeur du registre:
    HKey_Local_Machine/System/CurrentControlSet/Control/SecurityProviders/SCHANNEL/Protocols
  3. Cliquer du bouton droit de la souri sur le dossier SSL 2.0. Sélectionner New puis cliquer sur Key. Nommer ce nouveau dossier Server.
  4. Cliquer sur le menu Edit dans le dossier Server. Puis sélectionner New et cliquer sur la valeur DWORD (32-bit).
  5. Entrer Enable comme nom et appuyer sur Entrée.
  6. Vérifier que 0x00000000 (0) se trouve sous la colone Data. Si cette valeur n’est pas affichée, cliquer sur le bouton droit de la souri et sélectionner Modify puis entrer 0 à la valeur (Value) de données.
  7. Cliquer avec le bouton droit de la souri sur le dossier SSL 3.0 et sélectionner New, puis Key. Nommer le nouveau dossier Server.
  8. Cliquer le menu Edit à l’intérieur du dossier Server puis sélectionner New. Cliquer sur la valeur DWORD (32-bit).
  9. Entrer Enable comme nom et appuyer sur Entrée.
  10. Vérifier que 0x00000000 (0) se trouve sous la colone Data. Si cette valeur n’est pas affichée, cliquer sur le bouton droit de la souri et sélectionner Modify puis entrer 0 à la valeur (Value) de données.
  11. Redémarrer l’ordinateur.
  12. Visiter Public SSL Server Database afin de confirmer qu’aucun chiffrement SSL 2.0 ou SSL 3.0 ne sont disponibles.

     Notez que les clients d’Astral Internet peuvent dormir tranquille lorsqu’il s’agit des dernières vulnérabilités SSL découvertes. Nos clients seront heureux d’apprendre qu’ils sont déjà protégés de POODLE. L’ensemble de nos clients en hébergement mutualisé sur le nuage (ainsi que les clients sur serveurs virtuels avec une souscription « avec service ») sont correctement protégés contre la faille de sécurité POODLE.

     Pour plus de détails sur l’attaque de POODLE : voir le document consultatif sur la sécurité officielle publiée par des chercheurs de Google.

     Pour en savoir plus sur les plans d’hébergement d’Astral Internet, appelez-nous sans frais au (877) 667-0932 ou visitez https://www.astralinternet.comfr/.