SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


DROWN - Faille de sécurité exploitant le protocole SSLv2

DROWN est une attaque de type MitM (Man in the Middle) récemment publiée basée sur des principes similaires à l'attaque de Bleichenbacher (découverte en 1998) et visant les protocoles basés sur SSL/TLS. Cela permet à l'attaquant de casser le chiffrement du serveur et donc d'intercepter des communications client-serveur en exploitant la gestion SSLv2 activée sur le serveur.

Qui est concerné ?

Cela touche tout serveur permettant l'utilisation du protocole SSLv2, y compris si les ciphers (algorithmes de chiffrement) vulnérables sont désactivés. Cela touche tout protocole utilisant SSL/TLS. L'exploitation de cette vulnérabilité permettant l'accès à la clé privée de chiffrement, un serveur correctement configuré ré-utilisant une clé installée sur un serveur vulnérable serait également accessible.

Par ailleurs, les version d'Openssl inférieures à 1.0.1f et à 1.0.2g sont particulièrement vulnérables à cause d'un bug permettant l'utilisation de ciphers plus faibles non activés en conjonction avec l'attaque DROWN. Cela permet d'exploiter la vulnérabilité en minutes, à l'aide de matériel grand public.

Comment se protéger ?

La seule solution est de désactiver le protocole SSLv2.

Pour les utilisateurs d'openssl, une migration vers les version 1.0.1f ou 1.0.2g est également fortement recommandée.

Liens utiles