[ad_1]

Bon nombre des plus grandes banques, sociétés d’investissement et fournisseurs de crédit du pays sont vulnérables à une nouvelle découverte d’une faille de sécurité connue qui expose le trafic du site Web à l’écoute clandestine. Cette découverte a suscité de nouveaux avertissements du département américain de la Sécurité intérieure conseillant aux propriétaires de sites Web vulnérables de remédier à la faille le plus rapidement possible.

chasse canicheÀ la mi-octobre, le monde a entendu parler de « POODLE », un acronyme inoffensif désignant une grave faille de sécurité dans une version spécifique (version 3.0) de Couche de sockets sécurisée (SSL), la technologie utilisée par la plupart des sites Web commerciaux pour protéger la confidentialité et la sécurité des communications avec les clients.

Lorsque vous visitez un site commençant par « https:// », vous pouvez être sûr que les données transmises entre ce site et votre navigateur ne peuvent être lues par personne d’autre. Autrement dit, à moins que ces sites n’autorisent toujours le trafic sur SSL 3.0, auquel cas un attaquant pourrait exploiter le bogue POODLE pour décrypter et extraire des informations à l’intérieur d’une transaction cryptée – y compris des mots de passe, des cookies et d’autres données pouvant être utilisées pour usurper l’identité du légitime utilisateur.

Le 8 décembre, des chercheurs ont découvert que la faille POODLE s’étendait également à certaines versions d’une norme de chiffrement de type SSL largement utilisée, connue sous le nom de TLS (abréviation de Sécurité de la couche de transport).

« L’impact de ce problème est similaire à celui de POODLE, l’attaque étant légèrement plus facile à exécuter », a écrit Ivan Risticdirecteur de l’ingénierie dans une entreprise de sécurité Qualysqui a mis en ligne un outil de numérisation gratuit qui évalue les sites Web pour la présence de la vulnérabilité POODLE, entre autres problèmes. « La cible principale sont les navigateurs, car l’attaquant doit injecter du JavaScript malveillant pour lancer l’attaque. »

Un examen rapide à l’aide de l’outil d’analyse SSL / TLS de Qualys indique que les sites Web de certaines des plus grandes institutions financières du monde sont vulnérables au nouveau bogue POODLE, notamment Bank of America, Chase.com, Citibank, HSBC, Suntrust – ainsi que la retraite et les géants de l’investissement Fidelity.com et Vanguard (cliquez sur les liens pour voir le rapport). Des dizaines de sites offrant une protection du crédit à la consommation et d’autres services gérés par Expérian sont également vulnérables, selon SSL Labs. Qualys estime qu’environ 10 % des serveurs Web sont vulnérables à l’attaque POODLE contre TLS.

Selon un avis du Équipe américaine de préparation aux urgences informatiques (US-CERT), un partenariat géré en collaboration avec le Département américain de la sécurité intérieure, bien qu’il n’existe actuellement aucun correctif pour la vulnérabilité SSL 3.0 elle-même, la désactivation de la prise en charge de SSL 3.0 dans les applications Web est la solution la plus viable actuellement disponible. L’US-CERT note que certains des mêmes chercheurs qui découvert la vulnérabilité Poodle a également développé un correctif pour les problèmes liés à TLS.

Jusqu’à ce que les sites vulnérables corrigent le problème, les utilisateurs réguliers ne peuvent pas faire grand-chose pour se protéger de ce bogue, à part faire preuve de retenue lorsqu’ils sont confrontés au désir de se connecter à des sites bancaires et à d’autres sites sensibles via des réseaux non fiables, tels que points d’accès Wi-Fi publics.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *