Introduction Comment protéger votre navigateur contre POODLE ?

Introduction
En raison d’une faille dans la communication sécurisée entre navigateurs Internet
(tels qu’Internet Explorer, Firefox, …) et serveurs web (là où se trouvent les sites
Internet ou les services web sur lesquels vous surfez), il existe un risque d'être victime
d'une attaque dite POODLE1. Afin de nous protéger contre cette faille, plusieurs mesures
de sécurité supplémentaires ont été prises. Cela implique que des navigateurs Internet
obsolètes (tels qu’Internet Explorer 6) ou des navigateurs qui n’utilisent pas de
protocoles de sécurité plus récents ne sont plus soutenus par nos serveurs.
Si tel est le cas, votre navigateur affichera le message ci-dessous (ou un message
similaire) lorsque vous surferez sur une partie sécurisée de notre site Internet.
Vous devrez alors modifier un certain nombre de paramètres de votre navigateur, de
manière à activer le protocole TLS 1.0, TLS 1.1 ou TLS 1.2. La rubrique “Comment
sécuriser votre navigateur contre POODLE” vous explique pas à pas comment appliquer
ces paramètres.
Comment protéger votre navigateur contre POODLE ?
Pour vérifier si votre navigateur est vulnérable, vous pouvez faire un test sur le site
Internet : https://www.poodletest.com. Si vous voyez apparaître un caniche, cela
signifie que votre navigateur est vulnérable.
Commencez par vérifier si vous utilisez la dernière version complètement mise à jour de
votre navigateur. À moins que vous ayez modifié les paramètres de votre navigateur,
cela devrait suffire à établir une communication sécurisée avec les serveurs web de la
CPVP. Toutefois, afin que votre navigateur soit aussi totalement protégé contre une
attaque POODLE ou si les paramètres de sécurité ne sont pas corrects, vous devez
également prendre les mesures suivantes :
1
Vous trouverez plus d’informations sur cette attaque Poodle sous la rubrique du même nom.
Internet Explorer





Ouvrez Internet Explorer et cliquez sur l’icône Paramètres (qui ressemble à une
roue dentée).
Cliquez sur Options Internet. Une nouvelle fenêtre s’est à présent ouverte.
Tout à fait à droite de la fenêtre, vous verrez l’onglet Avancé – cliquez dessus.
Dans le domaine Paramètres, faites défiler le menu déroulant vers le bas jusqu’à
ce que vous voyiez les options SSL 2.0 et SSL 3.0.
Décochez SSL 2.0 et SSL 3.0. Veillez toutefois à ce que les autres options TLS 1.0,
TLS 1.1 et TLS 1.2 restent bien cochées (si vous ne disposez pas de toutes les
options pour TLS, il faut mettre votre version d’Internet Explorer à jour) !
Cliquez sur Appliquer et ensuite sur le bouton OK.
Chrome



Cherchez le raccourci que vous utilisez pour ouvrir Chrome. Cliquez dessus avec
le bouton droit de votre souris et cliquez ensuite sur Propriétés.
Lorsque la fenêtre Propriétés s’ouvre, vous trouvez un petit champ appelé Cible.
Ce champ devrait contenir un long chemin spécifiant l’endroit où se trouve
Chrome sur votre ordinateur. Il devrait ressembler à ceci : “C:\Program Files
(x86)\Google\Chrome\Application\chrome.exe”
ou
“C:\Program
Files\Google\Chrome\Application\chrome.exe”.
Cliquez dans ce petit champ juste après les guillemets et appuyez sur la barre
d’espace afin d’ajouter un espace supplémentaire. Tapez à présent (ou
copiez/collez) ce qui suit après l’espace :
--ssl-version-min=tls1
Cela donne à Chrome l’instruction d’utiliser au moins TLS 1.0 comme niveau de
sécurité minimum lors de connexions sécurisées.

Cliquez sur Appliquer en bas de la fenêtre et redémarrez votre navigateur.
Firefox




Tapez dans la barre d’adresse “about:config” (sans les guillemets). Vous recevez
un message d’avertissement. Cliquez sur “Je ferai attention, promis !”.
Dans la barre de recherche qui apparaît en haut de la fenêtre qui apparaît, tapez
“security.tls.version.min” (sans guillemets).
Double-cliquez sur la préférence “security.tls.version.min” et réglez la valeur sur 1.
Cela donne à Firefox l’instruction d’utiliser au moins TLS 1.0 comme niveau de
sécurité minimum lors de connexions sécurisées.
Redémarrez votre navigateur afin d’appliquer les modifications.
Une attaque POODLE, qu'est-ce que c'est ?
L’attaque POODLE (Padding Oracle on Downgraded Legacy Encryption) dont il est
question ici est une faille sérieuse pour la navigation en toute sécurité sur Internet.
Actuellement, lorsque vous surfez sur un site Internet sécurisé, vous voyez HTTPS:// au
début de l’adresse Internet. Cela implique que vous utilisez SSL ou TLS, deux protocoles
cryptographiques destinés à sécuriser la communication. Une attaque POODLE exploite
des failles dans certaines implémentations de ces protocoles, rendant ainsi la
communication lisible pour l’auteur de l’attaque qui obtient également accès à vos
cookies.