Drown : Une faille critique dans le protocole SSL et TLS

Dans le cadre d'une mise à jour d'OpenSSL, une faille de sécurité a été divulguée et qui affecte les serveurs qui utilisent "SSL et TLS" les protocoles qui sécurisent les échanges sur internet. Appelé DROWN, la vulnérabilité affecte 33% des serveurs, y compris des sites comme Yahoo, Alibaba, BuzzFeed et Flickr.

La faille de sécurité est similaire à heartbleed, considéré comme le plus grave de l'histoire de l'Internet, Grâce à cette vulnérabilité les attaquants peuvent intercepter des communications cryptées en HTTPS, potentiellement voler des données telles que les mots de passe ou des informations de carte de crédit. La liste des principaux sites vulnérables peut être vu par iCi.

Selon le site, une attaque qui exploite cette vulnérabilité peut être accompli en moins d'une minute. Les détails techniques de la faille de sécurité peut être vu à travers ce lien (pdf). Pour empêcher les serveurs de cette attaque, il est recommandé de désactiver le serveur SSLv2, et veiller à ce que la clé cryptographique ne soit pas partagé par d'autres serveurs.