Sécurité : Google alerte sur une faille dans le protocole SSL 3.0

Sécurité : Google alerte sur une faille dans le protocole SSL 3.0
Une vulnérabilité a été découverte dans SSL 3.0. Google invite les utilisateurs à abandonner ce protocole de chiffrement pour protéger leurs données.

Le protocole SSL 3.0 est âgé de presque 15 ans, mais il reste largement répandu, et est compatible avec presque tous les navigateurs Web. Selon les experts en sécurité de Google, ce protocole contient une faiblesse (répertoriée sous le nom de CVE-2014-3566) permettant à des personnes malveillantes d'accéder à des services en ligne sécurisés sans avoir besoin de connaitre le mot de passe d'un utilisateur. Par rapport à une faille telle que Heartbleed, la menace semble moindre, mais il convient d'en tenir compte, notamment en milieu professionnel.

Passer à TLS pour résoudre le problème

Dans sa note de blog, Google invite les utilisateurs à intégrer l'outil TLS_FALLBACK_SCSV pour empêcher les sites Web de passer en SSL 3.0, et donc pour empêcher les pirates d'intercepter des données confidentielles.
SSL 3.0 devrait être définitivement supprimé par les équipes de Google d'ici les prochains mois.

Source : Google Online Security Blog (en anglais)
Photo : Fotolia