Vulnérabilité informatique DROWN (CVE-2016-0800)

Dernière mise à jour : le 11 mars 2016

Le mardi 1er mars 2016, on annonçait qu'une nouvelle vulnérabilité informatique avait été décelée dans le protocole couramment utilisé, mais ancien, appelé couche de sockets sécurisés version 2 (SSLv2). Nommée DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) et décelée par des chercheurs, la vulnérabilité permet à un attaquant d'analyser une connexion à répétition sur une longue période afin de décrypter le contenu de celle-ci. L'attaque n'est toutefois pas simple, car elle nécessite l'observation de très nombreux échanges entre un utilisateur et un serveur, ce qui peut prendre beaucoup de temps. L'opération peut toutefois être accélérée en créant un site Web spécialement conçu pour établir de nombreuses connexions en arrière-plan. Cela dit, Ceridian a mis en place des mécanismes d'atténuation afin de déceler et de prévenir une telle attaque.

Quelles mesures Ceridian a-t-elle prises?

En date du 3 mars 2016, Ceridian avait désactivé le protocole SSL v2 de bon nombre de ses systèmes essentiels. Cette semaine, Ceridian a mis à jour ses systèmes de prévention et de détection des intrusions pour bloquer et déceler toute tentative d'attaque liée à la vulnérabilité informatique DROWN. À ce jour, aucune tentative d'attaque liée à cette vulnérabilité n'a été constatée.

Un changement est prévu à l'infrastructure technique de Ceridian la semaine prochaine pour désactiver tout trafic utilisant le protocole SSL v2.

Que devraient faire les clients de Ceridian?

Mise à niveau des navigateurs – Les clients doivent savoir que les anciens navigateurs sont vulnérables lorsqu'ils sont utilisés pour accéder à des pages Web prenant en charge le protocole SSL v2. Par conséquent, ils devraient s'assurer de mettre à niveau leurs navigateurs pris en charge, ou désactiver manuellement tout protocole SSL et activer le protocole TLS v1. Toutes les pages Web de Ceridian prennent en charge le protocole TLS v1.

Pour savoir comment activer le protocole TLS dans Internet Explorer, Firefox, Safari et Chrome, cliquez ici (en anglais seulement).

© Ceridian Canada Ltée. Tous droits réservés.    Confidentialité    Modalités et conditions
×
Renseignez-vous sur nos produits, consultez notre documentation, et plus encore. Entrez votre requête dans le champ de recherche ci-dessus. Des résultats s’afficheront à mesure que des mots-clés sont saisis.