Pour gérer vos consentements :
Categories: Cloud

SSL 3.0 : Google et Microsoft vont couper le cordon

Voici quelques semaines, les équipes de Google révélaient une vulnérabilité dans SSL 3.0, ancienne version – 18 ans d’âge – du protocole de chiffrement utilisé notamment pour sécuriser les connexions aux sites Web.

En réponse à cette découverte, le groupe Internet a intégré un correctif dans la dernière version de son navigateur Web (Chrome 38). Prochaines étapes : la désactivation de SSL 3.0 dans Chrome 39 – actuellement en bêta – et sa suppression définitive à partir de la mouture suivante du butineur.

Mozilla a annoncé une initiative similaire pour Firefox 34, dont la disponibilité générale en version stable est prévue pour le 25 novembre. De son côté, Apple a déjà patché Safari.

Microsoft suit la tendance avec un utilitaire FixIT applicable à toutes les versions d’Internet Explorer encore supportées (de la 6 à la 11). La firme en profite pour souligner que SSL 3.0 sera désactivé dans les prochaines moutures de son navigateur Web. D’autres services en ligne comme Office 365 et Azure seront concernés à partir du 1er décembre.

Répertoriée CVE-2014-3566, la faille en question est considérée d’une moindre importance par rapport à Shellshock et Heartbleed, mais elle représente tout de même une menace majeure. Un pirate qui parvient à intercepter le trafic acheminé entre un poste client et un serveur
(via une attaque de type « man-in-the-middle » exploitant par exemple un point Wi-Fi malveillant) peut ensuite le déchiffrer et récupérer des informations comme les cookies de session. Ces derniers permettent d’accéder à des services en ligne sécurisés sans disposer du mot de passe de l’utilisateur, aussi longtemps que celui-ci ne se déconnecte pas, note Silicon.fr.
La brèche n’est présente que dans la révision 3.0 du protocole SSL, encore très répandue, bien que progressivement remplacée par ses successeurs TLS 1.0, 1.1 et 1.2. Côté utilisateur, il est possible de la désactiver dans Chrome avec la commande –ssl-version-min=tls1. Dans Firefox, il faut mettre à 1 la valeur correspondant à security.tls.version.min.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?

Crédit photo : Gunnar Pippel – Shutterstock.com

Share
Published by
La Rédaction
Tags: AppleGoogleheartbleedMicrosoftshellshock
9 années ago

Recent Posts

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

2 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

3 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

4 semaines ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

1 mois ago