Qu’est-ce qu’une attaque POODLE ?

par | Oct 5, 2022 | Actualités cybersécurité

Qu’est-ce qu’une attaque POODLE ?

Une attaque POODLE intercepte les communications entre les navigateurs et les serveurs web. En cas de succès, elle peut exposer les informations privées des utilisateurs, comme les mots de passe et les numéros de carte de paiement. Qu’est-ce qu’une attaque POODLE ? Découvrir et comprendre

Qu'est-ce qu'une attaque POODLE ? : Sommaire

Comprendre l’attaque POODLE

POODLE (Padding Oracle on Downgraded Legacy Encryption) tente d’inverser le chiffrement effectué sur les données des utilisateurs. Ce décryptage des communications normalement sécurisées est possible grâce à plusieurs vulnérabilités.

Pour capturer ces informations, les attaquants forcent les navigateurs à utiliser le protocole SSL 3.0 au lieu d’autres protocoles plus sûrs comme TLS. On parle alors de vulnérabilité logicielle. Mis en lumière pour la première fois en 2014 par 3 chercheurs de l’équipe de sécurité de Google, de nombreux correctifs ont été lancés pour pallier à ce problème avec un succès plus que mitigé.

En forçant le déclassement, l’attaquant contraint les communications à utiliser un cryptage par blocs en mode CBC (Cipher Block Chaining, chaine de bloc de chiffrement) défectueux. Celui-ci présente une vulnérabilité de sécurité, qui est susceptible de faire l’objet d’un POODLE. Ainsi, les systèmes supportant SSL 3.0 associé à une suite de chiffrement utilisant les modes CBC peuvent en être victimes.

Au fil des années, des attaques par rétrogradation de protocole similaires ont fait surface, comme l’attaque SSL stripping. Il y a fort à parier que de nouvelles feront surface.

faille de sécurité

Comment fonctionne l’attaque POODLE ?

Le principal problème vient des systèmes existants qui restent rétrocompatibles avec des protocoles plus anciens comme SSL 3.0. En effet, les systèmes peuvent revenir à SSL pour résoudre des problèmes de performance ou de fonctionnalité.

Un tel retour en arrière au nom d’une expérience plus fluide crée malheureusement plus de problème qu’il n’en résout. Les acteurs malveillants du net abusent de cette possible régression et exploite tous les bugs de cryptage SSL.

Voici un bref aperçu du fonctionnement d’une attaque POODLE :

  • Le client et le serveur négocient la connexion. Tous deux doivent prendre en charge le protocole choisi. Par défaut, la communication se fera toujours sur la version la plus récente du protocole. Si cela échoue, la même négociation commence avec un protocole plus ancien.
  • Si les attaquants parviennent à prendre le contrôle de la connexion, ils peuvent imposer la connexion SSL. De telles intrusions sont plus faciles sur les réseaux Wifi gratuits dans les lieux publics.
  • Lorsque les clients et les serveurs interagissent avec le protocole SSL 3.0, leurs communications ne sont plus sûres. Sa principale vulnérabilité est qu’en envoyant des données sur de nombreuses connexions, chaque transmission laisse échapper des informations. Sa vulnérabilité vient du fait qu’il ne vérifie pas entièrement l’intégrité du remplissage avant le décryptage.
  • Les auteurs d’infractions doivent donc mettre en œuvre des attaques MitM (man in the middle, un tiers qui se place entre votre navigateur et les serveurs Internet) et exécuter des scripts malveillants pour déclencher le déclassement de votre connexion. Une fois que la connexion passe en charge SSL 3.0, l’attaque POODLE peut se produire. Elle exploite les vulnérabilités de chiffrement et de vérification pour capturer les données dans leur forme originale.

L’attaque POODLE est dangereuse mais pas si simple à mettre en œuvre

Ce type d’attaque n’est pas à la portée de n’importe quel script kiddie qui aurait déniché quelques scripts malveillant sur le Dark Web. Il faut un minimum de connaissances et plusieurs actions assez techniques sont nécessaires pour réussir ce type d’attaque.

Une attaque POODLE vise à forcer un site web à abandonner une connexion sécurisée via TLS. Toutefois, avant que l’attaque n’exploite les failles de SSL 3.0, les auteurs doivent réunir les conditions favorables.

Le meilleur environnement pour une attaque POODLE est un réseau public non-sécurisé. On en trouve partout comme les aéroports, les parcs ou les centres commerciaux.

Illustration : travail à distance

Quelles informations une attaque POODLE peut-elle obtenir ?

Si une attaque POODLE parvient à se mettre en place, elle peut récupérer tout ce que les utilisateurs soumettent lors de leur navigation. Cela inclut les données de connexion telles que les noms d’utilisateur, les adresses électroniques et les mots de passe. Les pirates pourraient mettre la main sur des cookies de session et des jetons d’authentification. Ce vol pourrait faciliter les prises de contrôle de comptes ou même l’usurpation d’identité. Pour faire simple, tout ce que vous trimballez avec vous quand vous naviguez comme session ouverte, tracking et autres…. La façon la plus simple pour empêcher les attaques POODLE est de désactiver SSL 3.0 sur le serveur et le client. Toutefois, cela peut s’avérer peu pratique dans certaines conditions.

Prévenir les attaques POODLE et similaires

Votre connexion à Internet, aux sites web, aux applications et aux autres services en ligne ne peut jamais être sécurisée à 100 %.

Sécurisez-vous même votre présence numérique est important.

Certaines habitudes, certains paramètres et certaines décisions vous rendent plus vulnérables. Voici quelques conseils pour protéger vos activités sur Internet, les données que vous soumettez et votre expérience globale.

  • Évitez de vous connecter à des réseaux inconnus. Les hotspots dans les lieux publics peuvent rendre les utilisateurs vulnérables à l’interception du trafic. Ils peuvent donc ouvrir la voie à des attaques de type MitM, SSL stripping et POODLE.
  • Ne faites pas confiance aux sites Web HTTP (en aucun cas). Si des sites utilisent le protocole HTTP, ne révélez jamais vos identifiants de connexion ou d’autres informations personnelles par leur intermédiaire.
  • Maintenez votre système d’exploitation, votre navigateur et vos autres logiciels à jour. Utilisez des solutions nouvelles générations et installez les mises à jour pour lutter contre les bugs et les vulnérabilités. De nombreuses menaces numériques fonctionnent parce que les gens continuent à utiliser des versions obsolètes.
  • Utilisez un VPN. Un réseau privé virtuel sécurise votre connexion à n’importe quel réseau. Ainsi, si vous activez un VPN et que vous vous connectez à un Wi-Fi public, votre trafic ne peut pas être lu par des tiers Même si les sites ou les réseaux n’utilisent pas un chiffrement approprié, un RPV le fera.
Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Mina

A propos de l'auteur : Mina

CoFondatrice de VPN Mon Ami

Chasseuse de bug dans son quotidien, Mina teste tous les outils de cybersécurité, anciens et nouveaux, que nous vous faisons découvrir.

Cyberattaque contre la croix rouge, que s’est t’il passé ?

par | Jan 31, 2022 | Actualités cybersécurité

Cyberattaque contre la croix rouge, que s’est t’il passé ?

📌 Mise à jour – mars 2025

Depuis cette cyberattaque ayant compromis les données personnelles de plus de 515 000 personnes vulnérables, le Comité international de la Croix-Rouge (CICR) a pris des mesures significatives pour renforcer la sécurité de ses systèmes :​

  • Renforcement des mesures de sécurité : Le CICR a amélioré ses protocoles de cybersécurité pour prévenir de futures intrusions. ​
  • Reprise des services : Les systèmes affectés ont été remis en ligne avec des dispositifs de sécurité renforcés, permettant la poursuite des programmes essentiels tels que le rétablissement des liens familiaux. ​
  • Sensibilisation accrue : L’incident a mis en lumière la nécessité d’une vigilance accrue face aux cybermenaces, en particulier pour les organisations humanitaires traitant des données sensibles. ​

Depuis la pandémie de 2020, les industries qui pouvaient se le permettre ont migré vers des environnements en ligne. Cette nouvelle façon de travailler a créé des failles de sécurité que les hackers ont les utilisées à leur avantage, et les entreprises ont dû trouver un moyen de les repousser.

Malgré les solutions de cybersécurité nouvellement développées tel que les VPN pour entreprise et les système de stockage en ligne à connaissance zéro, il semble que les entreprises soient lentes à suivre le rythme des attaques entrantes. C’est donc ce qui est arrivé à la croix rouge pendant ce mois de janvier 2022, une cyberattaque par logiciel malveillant.

La première attaque notable de 2022

L’année 2022 commence par une violation de données qui a affecté les données de la Croix-Rouge sur les profils de personnes très vulnérables. En extrayant des serveurs les données de plus de 60 sociétés du mouvement mondial de la Croix-Rouge, les tiers maveillants ont eu accès aux données sensibles de 515 000 personnes.

Il est intéressant de noter que cette attaque n’est pas été classée comme ransomware, car les attaquants n’ont pas demandé d’argent. Cela suggère que toutes les données ont été conservées.
Une attaque de cette ampleur contre une organisation à but non lucratif hautement sophistiquée et précisément ciblée pour acquérir des données sur les réfugiés de guerre et les personnes déplacées en raison de migrations, de catastrophes ou d’autres événements catastrophiques est une grande prémière.

En raison de la violation de données identifiée dans les 70 jours qui ont suivi l’intervention des pirates sur le réseau, les systèmes de la Croix-Rouge ont été mis hors service, ce qui a perturbé l’activité organisationnelle en mettant hors service le système touché. Le rôle de celui-ci est d’aider à localiser et à rétablir de manière confidentielle les liens familiaux des personnes vulnérables.

Cyberattaque contre la croix rouge : Comment c’est arrivé ?

L’affaire est classée comme une violation de données due à la vulnérabilité d’un tiers. La Croix-Rouge loue des serveurs à une société suisse anonyme pour stocker les données de l’organisation.

Selon la Croix-Rouge, les informations étaient sécurisées par les systèmes de défense du fournisseur qui se sont avérés adéquats contre l’obtention de données lors de précédentes tentatives de violation. Des mises à jour anti-malware programmées étaient en rotation pour assurer le processus de correction.

Cependant, après des tentatives répétées, les acteurs malveillants ont identifié une vulnérabilité, une faille de sécurité due à un correctif tardif sur l’un des modules d’authentification. Les criminels ont placé des shells web (script malveillant) qui permettaient de compromettre les informations d’identification de l’administrateur, d’accéder aux registres et de déployer des outils de sécurité offensifs.

En se déguisant dans les systèmes en utilisateurs et administrateurs légitimes du réseau, les cybercriminels ont eu le temps d’exploiter les données malgré leur chiffrement.

Le serveur compromis a été mis hors ligne une fois que la partie non autorisée a été détectée au cours d’une procédure de sécurité de routine. Cette attaque très sophistiquée était une tentative de collecte de données soigneusement élaborée, les informations ayant été copiées mais pas supprimées, modifiées, publiées ou échangées contre de l’argent.

Comment atténuer le risque ?

Une sécurité solide est obligatoire pour faire face à des acteurs malveillants persistants. L’affaire de la Croix-Rouge montre qu’1 seul faux pas peut entraîner une violation de données, même si des pratiques de sécurité étaient en place. Ainsi, lors de la sélection d’un fournisseur, assurez-vous que le fournisseur de VPN cloud entreprise respecte les exigences en matière de conformité et de sécurité des données.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écrit de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Données Facebook : Que s’est-il passé ?

par | Sep 5, 2021 | Actualités cybersécurité

Données Facebook : Que s’est-il passé ?

Le 3 avril 2021, un expert en sécurité a annoncé la découverte d’une fuite de données massive qui a touché 533 millions d’utilisateurs de Facebook. Près de 90 % des utilisateurs ont souffert de fuites de leur numéro de téléphone et moins de 10 % des profils utilisateurs ont vu leur adresse mail exposée. Quels autres données Facebook ont été compromises ? Quels risques pour les utilisateurs ?

 

Données Facebook : Les origines de cette fuite

Elle n’est pas récente. En effet, Facebook affirme que ces données ont fuités via une vulnérabilité qui a été corrigée en 2019. Les données récoltées dès lors n’ont été retrouvées que parce qu’elles ont été mises en vente en 2021. Ce n’est qu’en avril 2021 que l’intégralité des paquets de données a été comptabilisé. C’est à ce moment que l’affaire a éclaté dans les médias.

 

Que contenaient les données Facebook qui ont été corrompues ?

Les informations qui ont été dérobées sont les numéros de téléphone, les identifiants, les noms et prénoms, les lieux de résidence, les lieux et dates de naissance, les biographies et, dans certains cas, les adresses électroniques. Assez curieusement, ce sont les adresses e-mail qui auraient le moins fuitées.

Sur plus de 530 millions de profils compromis, 32 315 291 étaient américains. L’Egypte est la première victime de ce piratage, les comptes de 45 183 147 utilisateurs égyptiens ayant été exposés. En général, les 10 premiers pays en termes de violations représentent 50 % de tous les cas de violation.

Pour en savoir plus : Que sait Meta de nous ?

Données Facebook : Quels risques pour les utilisateurs qui ont été victime ?

Les fuites de données de ce type créent une augmentation très significative des tentatives d’hameçonnage par téléphone. Cette pratique fait partie de ce que l’on nomme ingénierie sociale. Le phishing par SMS est une escroquerie courante. Les pirates cherchent à se faire passer pour des services réels dans le but d’extorquer de l’argent. Le problème majeur de la fuite des données Facebook réside dans le fait que les informations sont regroupées par profil.

L’ensemble des données permet également de faire correspondre les noms et les numéros de téléphone avec des données supplémentaires telles que le lieu et le nom de l’employeur, ce qui permet à la fois de choisir les cibles (notamment pour les tentatives de spread phishing visant les entreprises) ou de rendre les tentatives de piratage plus crédibles.

Illustration : tentative de scam

Des solutions pour se protéger ?

Les meilleurs VPN proposent maintenant des nouvelles fonctionnalités comme des modules d’alerte. C’est le cas de Surfshark VPN avec Surfshark Alert. Vous recevez des alertes instantanées chaque fois que votre adresse e-mail apparaît dans des bases de données en ligne divulguées. Notre avis sur surfshark est très positif, c’est fournisseur innovant qui n’a de cesse de proposer des nouvelles fonctionnalités à ses applications. Surfshark Alert n’empêche pas les fuites de données Facebook, mais au moins, vous serez prévenu en temps réel.

 

illustration : Surfshark Alert

 

Pour les éventuelles tentatives de phishing, soyez toujours sceptique ! Que ce soit par SMS ou par mail, vérifiez toujours soigneusement l’identité de l’expéditeur, méfiez-vous des liens et des fichiers joints. Si vous êtes bon en français, certaines fautes de grammaire sont assez révélatrices. Méfiez-vous du ton d’urgence et des offres promotionnelles un peu trop alléchantes. Prenez votre temps.

En ce qui concerne Facebook, le plus simple serait de s’en passertongue-out. Il n’existe pas, à ce jour de moyen de sécuriser son compte en dehors des outils et procédures de sécurité proposés par ce géant du net.