Cette vulnérabilité affecte les serveurs fonctionnant encore en SSLv3.0 (CVE 2014-3566).
Elle se situe au niveau du cryptage cipher block chaining (CBC) et permet à un attaquant avec une position Man-in-the-Middle (MITM) d’obtenir le contenu d’un échange sécurisé basé sur les réponses reçues aux demandes envoyées à partir d’un navigateur compromis vers un serveur légitime.
Il s’agit d’une vulnérabilité avec le protocole SSL. Les certificats SSL existants ne sont pas affectés et n’ont pas besoin d’être remplacés.
Voici quelques mesures recommandées que nous avons mis en place sur les serveurs dédiés concernés :
- Désactiver le support SSL 3.0 dans votre configuration Apache, Nginx…
- Mettre en oeuvre la bonne utilisation des TLS_FALLBACK_SCSV pour assainir le problème de dégradation forcée qui fait partie de la vulnérabilité.
Pour détecter si SSLv3 est activé sur votre serveur, utilisez le service SSL Toolbox