-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il est important de noter que c'est une faille dans le protocole et non dans une implémentation du protocole. Les détails sont dévoilés ici : http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting-ssl-30.html Pour résumer ce qui y est dit, il faut désactiver SSLv3 dans le meilleur des cas, ou au moins, empêcher les clients de passer de TLS à SSLv3 en cas d'erreur réseau (ce qui est une technique pour exploiter la faille). Par ailleurs, on parle beaucoup de HTTP comme protocole vulnérable (ce qui est un fait), mais la faille s'appuie notamment sur des bouts de texte connus pour avoir le reste (donc, récupérer les cookies par exemple sur HTTP). Cela veut dire que ça marche sur d'autres protocoles verbeux, type IRC (pour récupérer le mot de passe). Un client n'est vulnérable que si on est capable de sniffer ses paquets, donc wifi, MITM, etc. Debian (par exemple), va désactiver le support de SSLv3 sur Iceweasel. Bonne journée, - -- Pierre Schweitzer <pie...@reactos.org> System & Network Administrator Senior Kernel Developer ReactOS Deutschland e.V. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iQIcBAEBAgAGBQJUPiBZAAoJEHVFVWw9WFsLYDEQAICBytkbGj2GgzHF3iN0/fHS ZbUbOKTnl8cPsf1HsHz/zGj6bwRWHTLoQJZclmZFU7HiolZRaDllzM2nvDTn7Yx/ sd45IA/Xj2ePEIVmARTZX7p3IF8O5Cc8QIWesGYgZQ3U5pGUIDOGpFsBF1YE+zkg EH4iWXoy/kawroktYKKZ7IPt6j0ep9mgkWgCa8uZF+dpo9Wk59cfkCvLax6Ny0rg Iu601f24wH5Q7EfZJM9BI7YB2UvuNWPpNlyLRpdWAihuHf6wcWfk2O92kgdv7MPv wYm6qA7BU9dQlsIbVYRQf3rhpqNbvnhkAXoVD49BQ9MG7Vs399Ha+k7Jc9MAFNIF 1DzcR1gqgKPIClKNVRjn/RFZY4S4NaA+T/Jkzn153Mc78CpIvEVOESGj/UBUy0yX F242qDqsJOiHqpQ3azFfGxGZMyMmR7NlIlG5YCRPiiEdvu1yRW9dZJi1ZDe+Y1S9 1sx8/McmVeGEMQ4KpxWIyMHfereMRNmfmvuGcrShJsEguvWPoeFo/xNq0e6+1shF lKCjmq0iYRV3yM0BhBNovod7LbpRluDnleu+/GnFwiE6s+z+DLyxFTCxvVR+3Oir RYJUTiDqe6UiZ2mek+L2eoBVOSyvZNODSgAUiSB60wtP27dhCPT5A+1BoUw6413n vqnEYR3M6wUf80kFMwjR =gRgZ -----END PGP SIGNATURE----- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/