Le système de chiffrement SSLv3 (1996) est actuellement obsolète et préféré au système TLS (Transport Security Layer). Cependant, le serveur peut toujours traiter le chiffrement du système SSLv3 si le client ne peut faire mieux. C’est là, que la faille Poodle entre en jeu.

Pour rester le plus simple possible, le pirate va se placer entre le serveur et le client via l’attaque de type « Man In The Middle » et faire croire au serveur que le client ne sait traiter qu’au mieux le protocole SSLv3, ainsi le pirate va pouvoir intercepter et déchiffrer les informations entre le client et le serveur. C’est la faille CVE-2014-3566 alias Poodle (Padding Oracle On Downgraded Legacy Encryption).

Configuration du serveur avec le protocole TLS

Afin de protéger le serveur de la faille Poodle, les fichiers de configuration vont être modifiés pour n’utiliser que le protocole TLS.

nb: toutes les commandes sont éxécutées en tant que root.
nb2 : Ici, les modifications ont été apportées sur un serveur Debian.

Serveur Web

• Nginx :

Edition du fichier de configuration de Nginx :

nano /etc/nginx/site/available/siteweb.conf

Ajouter/Remplacer SSLv3 par TLS :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Relancer le serveur Nginx pour la prise en compte :

service nginx restart

• Apache2 :

Edition du fichier de configuration ssl.conf.

nano /etc/apache2/mods-enabled/ssl.conf

Ajouter -SSLv3 à la fin de l’option SSLProtocol comme ceci :

SSLProtocol all -SSLv2 -SSLv3

Relancer le serveur Apache2 pour la prise en compte :

service restart apache2

Serveur de Messagerie

• Postfix :

Editer le fichier de configuration de postfix :

nano /etc/postfix/main.cf

Modifier/Ajouter :

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Relancer le service Postfix pour la prise en compte :

postfix stop
postfix start

• Dovecot :

Editer le fichier de configuration de Dovecot :

nano /etc/dovecot/conf.d/10-ssl.conf

Modifier/Ajouter :

ssl_protocols = !SSLv2 !SSLv3

Relancer Dovecot :

dovecot restart