Introduction Comment protéger votre navigateur contre POODLE ?
Transcription
Introduction Comment protéger votre navigateur contre POODLE ?
Introduction En raison d’une faille dans la communication sécurisée entre navigateurs Internet (tels qu’Internet Explorer, Firefox, …) et serveurs web (là où se trouvent les sites Internet ou les services web sur lesquels vous surfez), il existe un risque d'être victime d'une attaque dite POODLE1. Afin de nous protéger contre cette faille, plusieurs mesures de sécurité supplémentaires ont été prises. Cela implique que des navigateurs Internet obsolètes (tels qu’Internet Explorer 6) ou des navigateurs qui n’utilisent pas de protocoles de sécurité plus récents ne sont plus soutenus par nos serveurs. Si tel est le cas, votre navigateur affichera le message ci-dessous (ou un message similaire) lorsque vous surferez sur une partie sécurisée de notre site Internet. Vous devrez alors modifier un certain nombre de paramètres de votre navigateur, de manière à activer le protocole TLS 1.0, TLS 1.1 ou TLS 1.2. La rubrique “Comment sécuriser votre navigateur contre POODLE” vous explique pas à pas comment appliquer ces paramètres. Comment protéger votre navigateur contre POODLE ? Pour vérifier si votre navigateur est vulnérable, vous pouvez faire un test sur le site Internet : https://www.poodletest.com. Si vous voyez apparaître un caniche, cela signifie que votre navigateur est vulnérable. Commencez par vérifier si vous utilisez la dernière version complètement mise à jour de votre navigateur. À moins que vous ayez modifié les paramètres de votre navigateur, cela devrait suffire à établir une communication sécurisée avec les serveurs web de la CPVP. Toutefois, afin que votre navigateur soit aussi totalement protégé contre une attaque POODLE ou si les paramètres de sécurité ne sont pas corrects, vous devez également prendre les mesures suivantes : 1 Vous trouverez plus d’informations sur cette attaque Poodle sous la rubrique du même nom. Internet Explorer Ouvrez Internet Explorer et cliquez sur l’icône Paramètres (qui ressemble à une roue dentée). Cliquez sur Options Internet. Une nouvelle fenêtre s’est à présent ouverte. Tout à fait à droite de la fenêtre, vous verrez l’onglet Avancé – cliquez dessus. Dans le domaine Paramètres, faites défiler le menu déroulant vers le bas jusqu’à ce que vous voyiez les options SSL 2.0 et SSL 3.0. Décochez SSL 2.0 et SSL 3.0. Veillez toutefois à ce que les autres options TLS 1.0, TLS 1.1 et TLS 1.2 restent bien cochées (si vous ne disposez pas de toutes les options pour TLS, il faut mettre votre version d’Internet Explorer à jour) ! Cliquez sur Appliquer et ensuite sur le bouton OK. Chrome Cherchez le raccourci que vous utilisez pour ouvrir Chrome. Cliquez dessus avec le bouton droit de votre souris et cliquez ensuite sur Propriétés. Lorsque la fenêtre Propriétés s’ouvre, vous trouvez un petit champ appelé Cible. Ce champ devrait contenir un long chemin spécifiant l’endroit où se trouve Chrome sur votre ordinateur. Il devrait ressembler à ceci : “C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” ou “C:\Program Files\Google\Chrome\Application\chrome.exe”. Cliquez dans ce petit champ juste après les guillemets et appuyez sur la barre d’espace afin d’ajouter un espace supplémentaire. Tapez à présent (ou copiez/collez) ce qui suit après l’espace : --ssl-version-min=tls1 Cela donne à Chrome l’instruction d’utiliser au moins TLS 1.0 comme niveau de sécurité minimum lors de connexions sécurisées. Cliquez sur Appliquer en bas de la fenêtre et redémarrez votre navigateur. Firefox Tapez dans la barre d’adresse “about:config” (sans les guillemets). Vous recevez un message d’avertissement. Cliquez sur “Je ferai attention, promis !”. Dans la barre de recherche qui apparaît en haut de la fenêtre qui apparaît, tapez “security.tls.version.min” (sans guillemets). Double-cliquez sur la préférence “security.tls.version.min” et réglez la valeur sur 1. Cela donne à Firefox l’instruction d’utiliser au moins TLS 1.0 comme niveau de sécurité minimum lors de connexions sécurisées. Redémarrez votre navigateur afin d’appliquer les modifications. Une attaque POODLE, qu'est-ce que c'est ? L’attaque POODLE (Padding Oracle on Downgraded Legacy Encryption) dont il est question ici est une faille sérieuse pour la navigation en toute sécurité sur Internet. Actuellement, lorsque vous surfez sur un site Internet sécurisé, vous voyez HTTPS:// au début de l’adresse Internet. Cela implique que vous utilisez SSL ou TLS, deux protocoles cryptographiques destinés à sécuriser la communication. Une attaque POODLE exploite des failles dans certaines implémentations de ces protocoles, rendant ainsi la communication lisible pour l’auteur de l’attaque qui obtient également accès à vos cookies.