17 octobre 2014
Commentaires : 0

SSL, Windows, l’avalanche de failles n’en finit plus

Le monde se remet à peine de la vulnérabilité SSL Heartbleed, de l’annonce de l’existence d’une faille majeure touchant tous les systèmes *Nix, Shellshock puis des scandales JPMorgan et Home Depot.

Et voilà que deux annonces de plus se rajoutent à la liste des manquements sécuritaires de 2014.

Tout d’abord, The Security Factory a mis en lumière une faille proche de Shellshock dans son fonctionnement mais sous les systèmes Windows cette fois-ci.

Pourtant Microsoft estime que cela résulte d’une mauvaise utilisation des variables d’environnement et ne publiera donc pas de correctif. Aux administrateurs de régler le problème en utilisant « %CD% » et non %CD% (pointant sur le nom du répertoire courant) dans leurs scripts.

Pour en savoir plus, lisez cet article sur silicon.fr.

La seconde faille est un bug dans SSL 3.0, protocole de chiffrement classique sur internet. Elle permet à un pirate de vous dérober les cookies de votre navigateur. Ceci-dit, étant une attaque de type « man-in-the-middle », elle requiert de l’attaquant qu’il se place entre le site web et le navigateur, l’obligeant à avoir obtenu au préalable une place privilégiée sur votre réseau.

Si elle est donc plus compliquée à mettre en place, cette ouverture n’est pas à négliger. En effet, bien que l’on soit depuis passé au TLS 1, 1.1 puis 1.2 (Transport Layer Security), il est toujours possible pour un serveur malicieux de refuser l’échange via TLS afin de faire jouer la rétro-comptabilité SSL 3.0 (et son cryptage de 1987… ).

Les ingénieurs de google recommandent donc de purement et simplement désactiver le protocole dans vos navigateurs. Réalisable certes, mais cela devrait engendrer un bon nombre d’incompatibilités

Pour en savoir plus, lisez ce pdf.

Nous ne le redirons jamais assez mais soyez pro-actifs avec votre sécurité ! Si ce genre de failles n’est pas réellement évitable de prime abord, les dégâts qui peuvent être engendrés dépendent eux complètement de votre pro-activité. Nous vous invitons d’ailleurs à lire cet article afin de mieux comprendre comme une solution comme celle de notre partenaire Nexthink peut vous permettre de vous recentrer sur votre coeur de métier en toute sérénité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *