DROWN

Decrypting RSA using Obsolete and Weakened eNcryption

Erreur connexe

"This server is vulnerable to a DROWN attack. Disable SSLv2 protocol on the server" (Ce serveur est vulnérable aux attaques DROWN. Veuillez désactiver le protocole SSLv2 sur le serveur).

Problème

Des chercheurs sont découvert la vulnérabilité DROWN dans le protocole SSL v2. DROWN est l’acronyme de « Decrypting RSA with Obsolete and Weakened eNcryption (Déchiffrer RSA via un chiffrement obsolète et faible). Cette vulnérabilité affecte HTTPS et les autres services qui dépendent des protocoles SSL et TLS.

Les attaquants peuvent exploiter la vulnérabilité DROWN pour briser le chiffrement utilisé pour protéger vos données sensibles contre les regards indiscrets. Si le chiffrement est brisé, les attaquants peuvent lire ou dérober vos communications sensibles (par ex., mots de passe, données financières et messages électroniques). Dans certaines situations, les attaquants peuvent également usurper des sites Internet de confiance.

Bien que le protocole SSL 2.0 ait été renié en 1996 en raison de failles de sécurité connues, certains serveurs l’utilisent toujours. Vulnérabilités ou failles de sécurité bien connues :

  • L’intégrité des messages pour les chiffrements d’exportation est faible.
  • L’intégrité des messages est fragile.
  • Vulnérabilité aux attaques d’un intercepteur
  • Vulnérabilité aux attaques par troncation

Solution

Désactivez le protocole SSL 2.0 sur les serveurs ou services qui prennent encore en charge SSL v2.

OpenSSL

Pour OpenSSL, la solution la plus simple consiste en une mise à niveau avec les versions d’OpenSSL récemment publiées.

Si vous utilisez encore l’une des anciennes versions (n’étant plus prises en charge) d’OpenSSL, veuillez procéder à la mise à niveau avec la version prise en charge la plus récente.

Microsoft IIS

Si vous utilisez Microsoft IIS 7 ou une version plus récente, le protocole SSL v2 est désactivé par défaut. Si vous avez activé manuellement la prise en charge du protocole SSL v2, retournez aux paramètres et désactivez-la. Si vous exécutez une version plus ancienne (n’étant plus prise en charge) de Microsoft IIS, veuillez procéder à la mise à niveau avec IIS 7 ou une version plus récente.

Network Security Services (NSS)

Si vous utilisez NSS 3.13 ou une version plus récente, le protocole SSL v2 est désactivé par défaut. Si vous avez activé manuellement la prise en charge du protocole SSL v2, vous devez revenir aux paramètres et la désactiver. Si vous utilisez une version de NSS plus ancienne, veuillez procéder à la mise à niveau avec NSS 3.13 ou une version plus récente.

Apache, Nginx, etc.

Si vos serveurs prennent en charge le protocole SSL v2, désactivez la prise en charge.