Sur dix serveurs, l’un est peut être piraté. Comment cela est-il possible ? Grâce à TLS (ou plutôt à cause de TLS), qui peut être piraté en exploitant la faille Poodle. Certes, les risques sont bien présents, néanmoins la protection dudit serveur peut être optimisée tout simplement en comblant la brèche grâce à des méthodes éprouvées.

Faille des serveurs : après SSLv3, Poodle éjectera-t-elle TLS ?

Padding Oracle On Downgraded Legacy Encryption, tel est le nom de la faille qui fragilise la sécurité des serveurs et que les protocoles semblent avoir du mal à contourner. Plus connue sous l’appellation de Poodle, cette brèche avait déjà causé la perte de SSLv3, utilisé pour les connexions sécurisées HTTPS. Celui-ci a donc laissé sa place à TLS dans le cryptage des données des navigateurs, où il a été totalement désactivé ou carrément supprimé. Pour sa part, TLS est employé sous sa version 1.2. Une version tout simplement mieux équipée face à Poodle, présente au moins sur 1 serveur sur 10. Cette brèche ne ferait alors des dégâts que dans des circonstances précises. La méthode la plus efficace qui pourrait être recourue par les hackers étant par ailleurs celle d’un type man-in-the-middle. Toutefois, tout dépendrait notamment des produits concernés, invités à fortifier leurs armes de sécurité, contre l’interception et le déchiffrement des données.

TLS, à la hauteur de Poodle

Si Poodle peut aussi être exploitée via TLS, il n’est pas question pour les navigateurs, principalement ciblés, de revenir à SSLv3 : son successeur serait à la hauteur de la faille qui toucherait donc 10% des serveurs dans le monde. En effet, en cas de vulnérabilité, des correctifs sont proposés. De plus, les risques d’un piratage restent assez minimes dans la mesure où l’adaptation de TLS est optimisée sur l’ensemble des serveurs. Ces derniers sont par ailleurs appelés à évaluer une éventuelle vulnérabilité grâce à un outil spécifique. Pour sa part, Mozilla, a été le premier à avoir lancé l’alerte sur les risques représentés par TLS.