Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Gros problème levé par le CERT-GOUV aujourd'hui,SSL et les navigateurs

Philippeditlegros

Le CERT demande à ce que les utilisateurs de Firefox, Internet Explorer et Chrome fassent une manipulation sur leur navigateur.

Il faut taper "about:config" dans la barre d'adresses de Firefox(pour Internet Explorer c'est autre chose voir lien ci dessous), et chercher la valeur appelée : "security.tls.version.min" et la passer à 1.

Tout est expliqué ici : http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/index.html

La manip que je donne est disponnible au lien que je donne au dessus, à la : "Partie 4-Contournement provisoire".

@ plus.

Caribou22

fait ! Merci !

Philippeditlegros

De rien

tiramiseb

Salut,

Pour information, la faille est déjà corrigée dans OpenSSL : cela veut dire qu'avec tous les serveurs maintenus à jour, la faille n'est plus d'actualité.

Mais cela veut dire qu'on a entière confiance envers les serveurs que l'on utilise : forcer Firefox à utiliser TLS v1 (voire mieux) plutôt que SSL v3, ça ne fait pas de mal !

Rappelons quand même que SSL v3 date de 1996 (TLS v1 1999, TLS v1.1 2006, TLS v1.2 2008) !

Philippeditlegros

Information précieuse, merci !

Philippeditlegros

Deux correctifs SSL (OpennSSL) viennent d'être publiés, ils sont donc dispo dans les dépôts Ubuntu dès maintenant !

Shamayo

tiramiseb a écritSalut,

Pour information, la faille est déjà corrigée dans OpenSSL : cela veut dire qu'avec tous les serveurs maintenus à jour, la faille n'est plus d'actualité.

Mais cela veut dire qu'on a entière confiance envers les serveurs que l'on utilise : forcer Firefox à utiliser TLS v1 (voire mieux) plutôt que SSL v3, ça ne fait pas de mal !

Rappelons quand même que SSL v3 date de 1996 (TLS v1 1999, TLS v1.1 2006, TLS v1.2 2008) !

La faille ne peut être corrigée. Le meilleur moyen de la contourner est bien de désactiver SSLv3 ou d'avoir TLS_FALLBACK_SCSV d'installer. Ça permet de ré-essayer les connections TLS qui ont échouées.
Pour désactiver SSL sur vos serveurs avec apache (à mettre dans le vhost qui va bien) :

SSLProtocol All -SSLv2 -SSLv3

Dans la foulée, il y a une autre faille d'OpenSSL qui peut provoquer un déni de service :
Si le serveur reçoit une connexion qui échoue (dont le test d'intégrité ne passe pas), il y aura une "fuite" de RAM.

OpenSSL a écritOpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.

Martial34

J’ai Openssl 1.0.1f-1ubuntu2.7 et Libssl 1.0.1f-1ubuntu2.7. Est-il vraiment nécessaire de faire la modification dans about:config ?

Gaara

Merci pour cette info, j'ai fais les recherches pour chrome/chromium:

Pour les utilisateurs de chrome/chromium, il faut lancer le navigateur avec l'option --ssl-version-min=tls1 (source)

chromium-browser --ssl-version-min=tls1

Il n'existe pas d'option graphique comme dans firefox pour utiliser TLS1, donc il faut modifier les raccourcis: (remplacer chromium par chrome le cas échéant)

gksudo gedit /usr/share/applications/chromium-browser.desktop

Chercher à la ligne 170

Exec=chromium-browser %U

et remplacer par

Exec=chromium-browser --ssl-version-min=tls1 %U

(je ne suis pas certain à 100% pour le %U, mais ça fonctionne chez moi -> n'hésitez pas à me corriger si je dis des bêtises)

Edit: Il existe un site pour tester SSL v3

Philippeditlegros

Merci aussi Gaara pour les infos sur Chromium, et le lien sur ton edit:, avec les infos données au dessus par Shamayo, ça donne des idées pour répondre à la question de Martial34 qui se demande s'il doit faire la manip sur about:config.

Difficile de le dire Martial34 mais peut-être qu'en faisant le test d'après le lien de l'edit: de Gaara tu serais un peu plus fixé ? Mais bon, il faut aussi comprendre les infos données par Shamayo.

J'ai trouvé cet artcile qui a confirmé les deux tests que j'ai fait sur deux sites de banques il y a quelques minutes, apparemment les serveurs de ces banques seraient impactés(jusqu'à preuve du contraire). Voir l'article ici :

http://www.slate.fr/story/93437/poodle-bug-caniche-peut-vous-devoiler

Et un test en ligne qui se charge de tester les sites en https:// ici :

https://www.tinfoilsecurity.com/poodle

Au dernier lien au dessus, testez donc le site de votre banque et le site suivant : https://google.com

Gaara

C'est clair... Grosse croix rouge et point d'exclamation pour la banque, et ok pour google. Ok pour paypal aussi. D'autres sites (la CAF par exemple), retournent une erreur.
Mais qu'est-ce qu'on peut faire? rien je suppose.
Et du coup, est-il dangereux de se connecter à sa banque?

Philippeditlegros

C'est toute la question, sans autre donnée, on ne peut se fier que à ce que l'on trouve sur le net, les liens de test comme au dessus. La déduction est que oui, Google est ok, et que Paypal aussi d'ailleurs (entre autres sites qui doivent l'être eux aussi), donc ça veut dire que c'est possible de trouver des sites qui aient déjà réagi et comblé cette faille. De l'autre côté on voit que nos banques pas encore, donc on peut s'interroger et en déduire légitimement, que ce n'est peut-être pas la meilleure statégie de leur part, car il y a visiblement un risque à ne pas corriger cela. Et encore d'un autre côté, ma banque est restée des années avec le chiffrement MD5, alors que c'était déjà craqué depuis longtemps, et je n'ai jamais eu de problème avec pourtant. Cela dit, ils ont revus tout ça cette année, et obtiennent un degrés de 88% en test avec l'Addon Firefox "Calomel", c'est un Addon qui te dit quelles sont les techniques de chiffrements (et autres) qu'utilisent le site (serveur) que tu fréquentes ou que tu veux tester. Après installation de Calomel, dans la barre d'adresse de Firefox, il y a une icône qui apparaît devant la barre à gauche. Ma banque l'a donc changé cette année et a abandonné le chiffrement MD5, peut-être ont-ils rencontré des soucis, je ne sais pas. Enfin, sur la page Wikipédia sur MD5, les attaques possibles sont expliquées au paragraphe Cryptanalyse.

Il faut aussi savoir ce qu'un éventuel pirate peut-faire une fois qu'il a obtenu tes codes d'accès bancaires, mais ça seul toi peut le savoir pour ta propre banque. Dans mon cas, ils ne peuvent rien faire, pour faire des virements ma banque à mis en place un système de vérifications (avec codes) pour toutes créations de nouveaux bénéficiares et d'ordres de virement, donc à part voir que j'ai 14,04 euros sur mon compte, vont pas resté longtemps sur celui-ci :cool:

bishop

Philippeditlegros écrit :
C'est toute la question, sans autre donnée, on ne peut se fier que à ce que l'on trouve sur le net, les liens de test comme au dessus. la déduction est que oui, Google est ok, Paypal, donc ça veut dire que c'est possible de trouver des sites qui aient déjà réagis et combler cette faille.

Ces sites n'ont rien combler. Le message dit :
[center]SSLv3 Not Supported
Good news! Your server does not support SSLv3 with vulnerable ciphers and is not vulnerable to the POODLE attack.[/center]

En gros c'est "Bonnes nouvelles! Votre serveur ne prend pas en charge SSL v3 et n'est donc pas vulnérable à une attaque."
Cela voudrait plutôt dire que le serveurs de ces sites n'utilisent pas les derniers protocoles de chiffrage SSL v3 mis en cause en ce moment.

On pourrait aussi dire "Bonnes nouvelles! Vous utilisez une distribution de 10 ans d'âge, c'est une bonne cuvée, et les protocoles mis en cause n'existaient pas à cette époque. Vous n'êtes donc pas vulnérable." 😃

Si tu fais un essai avec forum.ubuntu-fr.org ou doc.ubuntu-fr.org, tu auras une belle croix rouge parce que les serveurs utilisent SSL v3 et sont vulnérables (d'après ce qu'ils disent. Je ne suis pas non plus un spécialiste).

Philippeditlegros

Merci pour les précisions Bishop, je ne suis pas spécialiste, je n'utilise donc pas les bons mots, c'est gentil de ta part.

tiramiseb

Salut,

Shamayo a écritLa faille ne peut être corrigée.

Oui, ils ont en effet utilisé le verbe "mitigate" lors de la sortie de la mise à jour du paquet, pas "fix".
Je suis d'accord avec toi, le meilleur moyen c'est d'arrêter d'utiliser SSLv3. Malheureusement, c'est au niveau des serveurs qu'il faut faire ça, à notre niveau, en tant que "simples utilisateurs", il n'y a pas grand chose qu'on puisse faire.

Martial34 a écritJ’ai Openssl 1.0.1f-1ubuntu2.7 et Libssl 1.0.1f-1ubuntu2.7. Est-il vraiment nécessaire de faire la modification dans about:config ?

Si je ne me trompe pas, le changement de version d'OpenSSL côté client ne change rien : c'est le serveur qui doit être mis à jour.

Gaara a écritMais qu'est-ce qu'on peut faire? rien je suppose.
Et du coup, est-il dangereux de se connecter à sa banque?

Non, on ne peut rien faire concernant la faille en elle-même.
On peut configurer le navigateur web pour ne pas utiliser SSLv3.

Se connecter à sa banque n'est pas plus dangereux qu'avant, par contre la faille en question est maintenant découverte, il est possible de faire l'objet d'une telle attaque. Cela étant dit, une attaque de type MITM n'est pas facile à mettre en œuvre, ce n'est pas non plus une faille béante.

bishop a écritCes sites n'ont rien combler.
[...]
Cela voudrait plutôt dire que le serveurs de ces sites n'utilisent pas les derniers protocoles de chiffrage SSL v3 mis en cause en ce moment
[...]
On pourrait aussi dire "Bonnes nouvelles! Vous utilisez une distribution de 10 ans d'âge, c'est une bonne cuvée, et les protocoles mis en cause n'existaient pas à cette époque

Non : SSL v3 n'est pas un "dernier protocole". C'est un vieux machin qui date de 1996, on aurait déjà dû l'abandonner depuis longtemps, au profit de TLS v1, v1.1 ou v1.2, ses successeurs successifs.

Philippeditlegros

bishop a écrit Si tu fais un essai avec forum.ubuntu-fr.org ou doc.ubuntu-fr.org, tu auras une belle croix rouge parce que les serveurs utilisent SSL v3 et sont vulnérables (d'après ce qu'ils disent. Je ne suis pas non plus un spécialiste).

Oui tout comme moi 😉

Mais je m'interroge, utilises-tu le site que j'ai donné à bon escient ? Ils précisent bien de tester les sites en https (voir le début de leur formulaire ici, ils commencent bien par "https://"). Mais forum.ubuntu-fr.org ou doc.ubuntu-fr.org dont tu nous parles ne le sont pas apparemment. Il est fort possible aussi que je me trompe, je ne connais pas bien ces forums, et ces pages de doc, merci de réctifier auquel cas 😛

Edit: merci pour les précisions Tiramiseb 😃

bishop

forum.ubuntu-fr.org ou doc.ubuntu-fr.org dispose d'une "version" https.

Philippeditlegros dit :
Ah merci pour les précisions Tiramiseb.

Oui ! Merci pour les précisions sur le protocole SSL v3. Je me fie aux versions sans penser (ça m'arrive souvent) qu'une dernière version (v1 => v2 => v3) peut dater.

Philippeditlegros

bishop a écritforum.ubuntu-fr.org ou doc.ubuntu-fr.org dispose d'une "version" https.

Philippeditlegros dit :
Ah merci pour les précisions Tiramiseb.
Oui ! Merci pour les précisions sur le protocole SSL v3. Je me fie aux versions sans penser (ça m'arrive souvent) qu'une dernière version (v1 => v2 => v3) peut dater.

Je ne suis pas instruit de ce côté là, je suis preneur des versions https si tu veux ? Il faut se mettre sur l'interface forum-kubuntu-fr.org je crois, je n'ai pas trouvé l'adresse pour forum-ubuntu-fr.org. Est-ce qu'on a une interface en https pour forum.ubuntu-fr.org stp ?

tiramiseb

Philippeditlegros: pour accéder en HTTPS aux sites d'Ubuntu-fr, il faut juste ajouter le "s" après "http" dans la barre d'adresse... (enfin, vu que Firefox n'affiche plus le "http://", il faut ajouter "https://" devant l'adresse, quoi)

Donc :

Est-ce qu'on a une interface en https pour forum.ubuntu-fr.org stp ?

Oui : https://forum.ubuntu-fr.org

Philippeditlegros

Tiramiseb. Quand je suis ton lien mon navigateur me dit que ce lien n'est pas vérifié, et que je ne devrais pas accepter de contourner le certificat. Une idée ?

Page suivante »