Raccoon Attack : une faille dans SSL/TLS vieille de 20 ans
Raccoon Attack : un groupe de chercheurs en sécurité a dévoilé les détails sur une vulnérabilité dans les communications SSL/TLS qui existe depuis SSLv3 (1996).
Lire cet article
SSL
IIS 8.5 : Désactiver le protocole SSL 3.0
Désactiver SSL 3.0 dans IIS pour se protéger de la faille Poodle qui touche ce protocole.
Lire cet articlePoodle : Une vulnérabilité critique dans SSL 3.0
Une nouvelle vulnérabilité semblable à Heartbleed a été découverte dans un vieux protocole, mais encore utilisée à l’échelle mondiale : le protocole de chiffrement SSL 3.0. Cette vulnérabilité permettrait à l’attaquant de déchiffrer le contenu des connexions chiffrées entre les clients et les sites internet. Nommé POODLE (Padding Oracle On Downgraded Legacy Encryption – CVE-2014-3566), cette vulnérabilité est la découverte de l’équipe de sécurité de chez Google. Découverte il y a un mois, elle touche tous les produits qui intègre l’utilisation du SSL version 3, notamment les navigateurs (Chrome, Firefox et Internet Explorer). L’attaque POODLE permet à un attaquant de réaliser un man-in-the-middle dans le but déchiffrer les cookies HTTP, de dérober des données personnelles, des mots de passe, préférences de sites, etc. De plus, l’attaque POODLE peut forcer une connexion en SSL 3.0 ! La documentation SSL POODLE Il est recommandé de désactiver le SSLv3 sur les clients et les serveurs. De son côté, Google annonce que le support
Lire cet articleIIS 8.5 – Sécuriser son FTP avec un certificat SSL
Création d’un certificat auto-signé pour sécuriser les communications avec le serveur FTP sous IIS.
Lire cet article
Un chercheur démontre la pauvreté de certaines implémentations SSL
L’éditeur de logiciels Tripwire, a annoncé que Craig Young, un chercheur en sécurité de sa division « Vulnerability and Exposure Research Team (VERT) » travaille sur un document à propos des vulnérabilités du SSL qui seront présentées à la conférence de hacking « DEF CON 22 Wireless Village ». Il y a des milliers de sites sur internet qui contiennent des erreurs de configuration dans l’implémentation de SSL et TLS, ce qui les rends vulnérables à des attaques de type Man In The Middle, et, qui pourrait compromettre des données sensibles appartenant aux utilisateurs comme des identifiants d’accès à ses comptes bancaires comme PayPal, des numéros de cartes bancaires, etc. Craig Young met en évidence que les mauvaises implémentations SSL combinées à l’utilisation du Wi-Fi 802.11 et de ses faiblesses peuvent amener à l’exploitation de certaines failles par les hackers avec « des conséquences dévastatrices pour le monde réel ». Qui est ce Craig Young ? Un expert en cyber
Lire cet article
Configurer le SSL avec Apache 2
Apprenons à configurer le SSL sur un serveur web Apache grâce à OpenSSL
Lire cet article
Configurer le SSL pour sécuriser MySQL
I. Présentation Dans ce tutoriel, nous allons apprendre à configurer MySQL pour qu’il utilise le SSL afin de chiffrer les échanges avec ses clients. Il faut savoir que le chiffrement d’un flux par SSL alourdis en général les échanges par des traitements et des calculs supplémentaires (chiffrement / déchiffrement), c’est pourquoi le SSL n’est pas configuré par défaut dans MySQL. Il peut toutefois être dans certaines situations une solution non négligeable pour sécuriser les échanges. II. Permettre les connexions distantes Le besoin de sécuriser les échanges MySQL se fait naitre lorsque des serveurs ont besoins de communiquer fréquemment entre eux. Il faut donc déjà pour cela que notre serveur MySQL soit à l’écoute sur son interface externe. On va également s’assurer d’avoir au moins un utilisateur qui puisse se connecter à distance sur notre serveur dans notre base de données. On va pour cela se rendre en ligne de commande (de préférence en « root ») sur notre serveur MySQL afin d’effectuer
Lire cet article