Qu’est-ce qu’une attaque POODLE ?
Une attaque POODLE intercepte les communications entre les navigateurs et les serveurs web. En cas de succès, elle peut exposer les informations privées des utilisateurs, comme les mots de passe et les numéros de carte de paiement. Qu’est-ce qu’une attaque POODLE ? Découvrir et comprendre
Qu'est-ce qu'une attaque POODLE ? : Sommaire
Comprendre l’attaque POODLE
POODLE (Padding Oracle on Downgraded Legacy Encryption) tente d’inverser le chiffrement effectué sur les données des utilisateurs. Ce décryptage des communications normalement sécurisées est possible grâce à plusieurs vulnérabilités.
Pour capturer ces informations, les attaquants forcent les navigateurs à utiliser le protocole SSL 3.0 au lieu d’autres protocoles plus sûrs comme TLS. On parle alors de vulnérabilité logicielle. Mis en lumière pour la première fois en 2014 par 3 chercheurs de l’équipe de sécurité de Google, de nombreux correctifs ont été lancés pour pallier à ce problème avec un succès plus que mitigé.
En forçant le déclassement, l’attaquant contraint les communications à utiliser un cryptage par blocs en mode CBC (Cipher Block Chaining, chaine de bloc de chiffrement) défectueux. Celui-ci présente une vulnérabilité de sécurité, qui est susceptible de faire l’objet d’un POODLE. Ainsi, les systèmes supportant SSL 3.0 associé à une suite de chiffrement utilisant les modes CBC peuvent en être victimes.
Au fil des années, des attaques par rétrogradation de protocole similaires ont fait surface, comme l’attaque SSL stripping. Il y a fort à parier que de nouvelles feront surface.
Comment fonctionne l’attaque POODLE ?
Le principal problème vient des systèmes existants qui restent rétrocompatibles avec des protocoles plus anciens comme SSL 3.0. En effet, les systèmes peuvent revenir à SSL pour résoudre des problèmes de performance ou de fonctionnalité.
Un tel retour en arrière au nom d’une expérience plus fluide crée malheureusement plus de problème qu’il n’en résout. Les acteurs malveillants du net abusent de cette possible régression et exploite tous les bugs de cryptage SSL.
Voici un bref aperçu du fonctionnement d’une attaque POODLE :
- Le client et le serveur négocient la connexion. Tous deux doivent prendre en charge le protocole choisi. Par défaut, la communication se fera toujours sur la version la plus récente du protocole. Si cela échoue, la même négociation commence avec un protocole plus ancien.
- Si les attaquants parviennent à prendre le contrôle de la connexion, ils peuvent imposer la connexion SSL. De telles intrusions sont plus faciles sur les réseaux Wifi gratuits dans les lieux publics.
- Lorsque les clients et les serveurs interagissent avec le protocole SSL 3.0, leurs communications ne sont plus sûres. Sa principale vulnérabilité est qu’en envoyant des données sur de nombreuses connexions, chaque transmission laisse échapper des informations. Sa vulnérabilité vient du fait qu’il ne vérifie pas entièrement l’intégrité du remplissage avant le décryptage.
- Les auteurs d’infractions doivent donc mettre en œuvre des attaques MitM (man in the middle, un tiers qui se place entre votre navigateur et les serveurs Internet) et exécuter des scripts malveillants pour déclencher le déclassement de votre connexion. Une fois que la connexion passe en charge SSL 3.0, l’attaque POODLE peut se produire. Elle exploite les vulnérabilités de chiffrement et de vérification pour capturer les données dans leur forme originale.
L’attaque POODLE est dangereuse mais pas si simple à mettre en œuvre
Ce type d’attaque n’est pas à la portée de n’importe quel script kiddie qui aurait déniché quelques scripts malveillant sur le Dark Web. Il faut un minimum de connaissances et plusieurs actions assez techniques sont nécessaires pour réussir ce type d’attaque.
Une attaque POODLE vise à forcer un site web à abandonner une connexion sécurisée via TLS. Toutefois, avant que l’attaque n’exploite les failles de SSL 3.0, les auteurs doivent réunir les conditions favorables.
Le meilleur environnement pour une attaque POODLE est un réseau public non-sécurisé. On en trouve partout comme les aéroports, les parcs ou les centres commerciaux.
Quelles informations une attaque POODLE peut-elle obtenir ?
Si une attaque POODLE parvient à se mettre en place, elle peut récupérer tout ce que les utilisateurs soumettent lors de leur navigation. Cela inclut les données de connexion telles que les noms d’utilisateur, les adresses électroniques et les mots de passe. Les pirates pourraient mettre la main sur des cookies de session et des jetons d’authentification. Ce vol pourrait faciliter les prises de contrôle de comptes ou même l’usurpation d’identité. Pour faire simple, tout ce que vous trimballez avec vous quand vous naviguez comme session ouverte, tracking et autres…. La façon la plus simple pour empêcher les attaques POODLE est de désactiver SSL 3.0 sur le serveur et le client. Toutefois, cela peut s’avérer peu pratique dans certaines conditions.Prévenir les attaques POODLE et similaires
Votre connexion à Internet, aux sites web, aux applications et aux autres services en ligne ne peut jamais être sécurisée à 100 %.
Sécurisez-vous même votre présence numérique est important.
Certaines habitudes, certains paramètres et certaines décisions vous rendent plus vulnérables. Voici quelques conseils pour protéger vos activités sur Internet, les données que vous soumettez et votre expérience globale.
- Évitez de vous connecter à des réseaux inconnus. Les hotspots dans les lieux publics peuvent rendre les utilisateurs vulnérables à l’interception du trafic. Ils peuvent donc ouvrir la voie à des attaques de type MitM, SSL stripping et POODLE.
- Ne faites pas confiance aux sites Web HTTP (en aucun cas). Si des sites utilisent le protocole HTTP, ne révélez jamais vos identifiants de connexion ou d’autres informations personnelles par leur intermédiaire.
- Maintenez votre système d’exploitation, votre navigateur et vos autres logiciels à jour. Utilisez des solutions nouvelles générations et installez les mises à jour pour lutter contre les bugs et les vulnérabilités. De nombreuses menaces numériques fonctionnent parce que les gens continuent à utiliser des versions obsolètes.
- Utilisez un VPN. Un réseau privé virtuel sécurise votre connexion à n’importe quel réseau. Ainsi, si vous activez un VPN et que vous vous connectez à un Wi-Fi public, votre trafic ne peut pas être lu par des tiers Même si les sites ou les réseaux n’utilisent pas un chiffrement approprié, un RPV le fera.
A propos de l'auteur : Mina
CoFondatrice de VPN Mon Ami
Chasseuse de bug dans son quotidien, Mina teste tous les outils de cybersécurité, anciens et nouveaux, que nous vous faisons découvrir.