Une autre vulnérabilité ressemblant à HEARTBLEED a été découverte dans le protocole Secure Sockets Layers SSL 3.0 qui permet aux hackers de décrypter les connections cryptées vers un site web.
L’équipe de sécurité de Google a révélé que le protocole de cryptage le plus utilisé SSL 3.0 a une vulnérabilité critique qui permet de voler les données sensibles.
Cette faille affecte chaque produit qui utilise le SSL 3.0 y compris Chrome, Firefox, Internet explorer.
L’attaque qui exploite cette vulnérabilité est appelés par les chercheurs POODLE « Padding Oracle Downgraded Legacy Encryption ». Elle utilise le principe du « man-in-the-middle » dans le but de décrypter les cookies HTTP, elle peut forcer une connexion de se replier « fallback » à SSL 3.0 où il y aura la possibilité de voler les données sensibles des utilisateurs.
POODLE est une menace critique vu qu’elle est utilisée par les deux extrémités d’une connexion c’est-à-dire le site web et l’explorateur d’internet et elle restera critique tant que le SSL 3.0 est utilisé, c’est pour cette raison qu’il faut configurer les deux extrémités pour éviter l’utilisation de SSL 3.0.
Pour se protéger contre POODLE il n y a rien à faire au niveau d’utilisateur final sauf la désactivation de SSL 3.0, en attendant que les entreprises et fournisseurs réalisent des mises à jour pour empêcher l’utilisation de SSL 3.0.
Google a annoncé qu’il va enlever le SSL 3.0 de son navigateur Chrome, de même pour Firefox qui a annoncé « SSLv3 will be disabled by default in Firefox 34 ».