Test en ligne de vulnérabilité à la faille «OpenSSL CCS»

Votre site est-il faillible à la faille d'OpenSSL "CCS" ?

URL à tester :

Retour aux tests en ligne Retour aux solutions

À propos de la faille OpenSSL CCS (CVE-2014-0160).

Il s'agit d'une faille touchant toutes les versions d'OpenSSL (sauf les dernières version à jour OpenSSL-1.0.1h / OpenSSL-1.0.0m et OpenSSL-0.9.8za).
Cette faille est assez critique car elle permet le decryptage de l'ensemble du flux SSL.

Lorsqu'une connexion SSL est effectuée, les échanges de paquets contenant notament les clés doivent s'effectuer dans un ordre bien précis. La première partie consiste en deux échanges, ClientHello et ServerHello. Une fois cet échange effectué, le navigateur et le serveur échange "ciphersuites" permettant de connaitre sur quel format de cryptage va se faire la connexion.

Il existe la possibilité d'utiliser "ChangerCipherSpec", afin de modifier à tout moment les clés cryptographiques. Cette séquence doit arriver après in ClientHello et ServerHello. Le problème de la faille réside ici : il est possible d'envoyer "ChangerCipherSpec" avant un "Hello". Dans ce cas, il est possible d'exploiter des clés connues d'avance, et de décrypter ensuite la connexion active.
C'est une injection : l'attaquant injecte "ChangerCipherSpec" coté client ET coté serveur, utilisant des clés connues. La connexion continue à être établie, mais avec des clés prédictives, permettant ensuite à l'attaquant d'avoir en clair toutes les données qui transitent.

Bien que cette faille a été moins médiatisée que la faille dite "heartbleed" (CVE-2014-0160) elle est tout autant critique. Sa faible médiatisation est un facteur aggravant : beaucoup moins d'acteurs on mis à jour leurs serveurs, elle est donc largement plus exploitée surtout qu'elle touche toutes les versions d'OpenSSL.

Quelques liens

Avertissement de sécurité sur OpenSSL.org
Fiche OpenSSL CCS sur le site du CERT
Fiche OpenSSL CCS sur le site du MITRE

Que faire si mon site est faillible ?

Il vous faut impérativement mettre à jour votre version de OpenSSL, si vous n'avez pas les compétences en interne pour gérer cette mise à jour, n'hésitez pas à nous contacter.

Icodia, votre hébergeur depuis 20 ans

Support personnalisé 24/7

Nous savons que nos clients sont différents, que les problématiques rencontrées peuvent être de natures diverses.
Les outils utilisés, les techniques, les connaissances de chacun ne sont pas forcément les mêmes.

Notre équipe vous apportera la bonne solution 02 30 96 40 59

La société

>> En savoir plus sur Icodia
>> Conditions Générales des Services
>> Protection des données personnelles
>> Contactez le délégué à la protection des données personnelles
>> Espace presse / Espace médias

Haute disponibilité

Icodia vous assure une disponibilité optimale de vos sites et adresses email.
En 2021, l'uptime de notre plateforme (taux de disponibilité) a été de 100%
>> État des services

Datacenter privé

Icodia est propriétaire de son datacenter localisé en Bretagne.
Nous apportons la plus grande attention aux questions de fiabilité et de sécurité de notre plateforme, mais également aux questions environnementales.
>> En savoir plus

Connexion IcoAdmin