Des caniches, partout. Ce 15 octobre, impossible d'échapper au canidé à moumoute frisée sur les sites consacrés à l'actualité numérique. Et ce n'est ni un hasard, ni une erreur: ces derniers ont juste relayé une nouvelle faille informatique, révélée dans la nuit, et qui répond au nom de «Poodle» («caniche» en anglais).
Si le terme a évidemment été choisi pour son potentiel cocasse, répondant ainsi à toutes les exigences marketing d'une campagne de sécurité informatique actuelle, dont nous décrivions récemment les mécanismes et les travers, il recouvre aussi une réalité technique: Poodle, pour «Padding Oracle on Downgraded Legacy Encryption», comme le précise Wired.
En clair, cela signifie que ce nouveau bug, révélé par trois chercheurs en sécurité de Google, permet à quiconque l'exploiterait de «découvrir des données chiffrées», comme le résume l'ingénieur Stéphane Bortzmeyer.
Peut permettre l'accès aux comptes Twitter, Facebook, mails et aux banques en ligne
La troisième colonne indique si le site de telle ou telle banque autorise ou non un chiffrement des échanges via le protocole défaillant SSLv3. Tous, sauf la Caisse d'Epargne, semblent vulnérables, à en croire ce site qui compile des tests réalisés par SSL Labs.
Concrètement, cela veut dire que sur un service comme Twitter ou Facebook (qui ont fait le nécessaire dans la nuit de mardi à mercredi), il est possible «de détourner et déchiffrer le cookie [le petit fichier texte stocké par le navigateur sur votre disque dur] qui permet de vous identifier, explique Wired, [...] et prendre ensuite le contrôle de vos comptes sans avoir besoin du mot de passe». Il serait également possible d'accéder aux services «de banque en ligne et systèmes de messagerie», ajoute le site Ars Technica.
En France, quasiment toutes les banques seraient vulnérables, à en croire ce classement.
Pas anodin donc, comme le confirment de nombreux experts en sécurité informatique que nous avons interrogés; mais pas aussi grave, non plus, que la faille Heartbleed d'avril dernier, qui permettait d'accéder à des mots de passe, voire à des numéros de carte bancaire, et à laquelle Poodle fait immédiatement penser.
Mais un accès limité
En effet, cette vulnérabilité affecte, tout comme Heartbleed, un protocole de chiffrement (appelé SSLv3). Autrement dit le procédé qui permet de cacher aux yeux du monde ce que vous faites sur un site Internet –à condition que ce dernier utilise bel et bien cette technique de sécurisation. En étant vulnérable, il vous expose donc potentiellement, «même si cette faille ne vous met pas non plus à poil», nous précise Stéphane Bortzmeyer.
Si elle semble assez simple à exploiter, Poodle ne donne pas en effet un accès direct aux données sensibles: l'attaquant doit davantage deviner ces informations.
De plus, ce bug nécessiterait pour l'attaquant d'être présent sur le réseau. «S'il est en Russie, ça risque d'être plus compliqué», poursuit l'ingénieur. Le cyber-assaillant se doit donc d'être en local, par exemple sur un réseau d'entreprise ou d'université, ou via un hotspot wifi, comme l'explique Wired. Qui ajoute:
«Donc en tant qu'utilisateur à domicile, vous n'avez pas à paniquer.»
Un bug qui exploite une relique du Net: mettez à jour!
Si Poodle n'est a priori pas apocalyptique (même s'il faut être prudent et suivre l'évolution de ce bug avec le temps), il est tout de même conseillé aux entreprises de désactiver l'accès au protocole de chiffrement visé, le SSL version 3.
Daté de 1996, et qui «aurait dû être abandonné depuis au moins dix ans» selon Stéphane Bortzmeyer, ce procédé n'en est pas moins encore très utilisé par les sites Internet. «Pour les sites de e-commerce, cela s'explique par leur désir de ne pas abandonner les 1% ou 2% d'utilisateurs qui ont encore Internet Explorer 6», poursuit l'ingénieur.
La défaillance prouve donc une fois encore la nécessité de mettre à jour son navigateur, et les logiciels informatiques qu'on utilise de façon générale, qui se retrouvent de plus en plus exposés aux attaques avec le temps –comme le démontre les craintes d'«XPocalypse» suivant l'abandon progressif de Windows XP par Microsoft.
CVE-2014-3566 #Poodle #SSLMIT bug first #infographics explanation by yours truly #infosec #security #sslv3 pic.twitter.com/KdwYilfLms
— Jesper Jurcenoks (@jesperjurcenoks) 15 Octobre 2014
Sur ce schéma qui décrit une exploitation du bug Poodle, l'attaquant force le serveur d'un site à utiliser le chiffrement défaillant, SSLv3, dans le but de pouvoir se faire passer pour l'utilisateur, et se connecter à son compte (mail, bancaire, Twitter, Facebook...)
Concrètement, la majorité des sites Internet ont installé sur leurs serveurs une version plus récente de ce protocole qui permet de sécuriser nos allers et venues. Quand un internaute se connecte sur les sites en question, un dialogue s'installe entre les serveurs et le navigateur afin d'établir le chiffrement qui va être mis en place. La plupart du temps, la version la plus récente l'emporte. Mais avec de vieux navigateurs, ou dans le cas où une personne malveillante viendrait s'insérer dans cet échange dans le but d'exploiter le bug Poodle, alors serveur et navigateur pourraient se mettre d'accord pour utiliser cette vieille version SSL v3.
L'e-commerce déjà embêté?
C'est plus problématique quand des serveurs ne laissent pas le choix, et ne protègent les échanges Internet que via cette antique et vulnérable version de chiffrement. Particulièrement quand, en plus, ces serveurs gèrent des transactions bancaires.
Désactiver SSLv3, c’est bien, mais ça casse mes paiements par CB…
— Mathieu Arnold (@Mat_A) 15 Octobre 2014Or à en croire l'expérience d'un spécialiste d'Internet sur Twitter, cette mésaventure se produirait pour les sites d'e-commerce traitant avec des banques qui utilisent l'intermédiaire d'Atos pour les paiements en ligne. C'est le cas de BNP Paribas, La Banque Postale ou bien encore la Société Générale.
Problème: si un site de vente en ligne, soucieux de ne pas exposer ses clients à ce nouveau bug, suit les recommandations de sécurité et désactive le chiffrement déficient, alors il ne peut plus communiquer avec Atos. Ce qui signifie notamment que les confirmations de paiement ne parviennent plus aux commerçants. Et que ces derniers, sans être au courant des achats effectués sur leur site, peuvent ne pas être en mesure d'expédier l'objet de l'achat en question, nous explique un spécialiste du paiement en ligne, qui nous confirme l'existence du problème.
Contacté, Atos n'a pour le moment pas répondu à nos sollicitations.
Mais si cet effet de bord du bug Poodle se confirme, il risque fort de provoquer un joli bazard dans la communauté du e-commerce français.
A noter que pour l'instant, et à l'instar de l'expérience Heartbleed, les sites communiquent peu ou pas sur cette faille, et sur la manière dont ils sont affectés.
