Outdated SSL/TLS Protocols Supported

Protocoles SSL/TLS obsolètes pris en charge

Risque: moyen

Description

Cette vulnérabilité indique que le serveur prend en charge un ou plusieurs protocoles SSL/TLS obsolètes. Ces protocoles présentent des vulnérabilités de sécurité connues et sont considérés comme non sécurisés pour un usage moderne.

Les protocoles obsolètes peuvent inclure : - SSLv2 - SSLv3 - TLSv1.0 - TLSv1.1

Ces protocoles présentent diverses faiblesses qui peuvent être exploitées par des attaquants, ce qui peut entraîner :

1. Des attaques par interception (MitM)
2. Le déchiffrement des communications chiffrées
3. Des compromissions de l'intégrité des données
4. Des attaques par repli (downgrade) forçant l'utilisation de protocoles plus faibles

Exemple de scénario : Un attaquant pourrait exploiter la vulnérabilité POODLE dans SSLv3 pour déchiffrer des informations sensibles transmises sur une connexion chiffrée. Cela pourrait entraîner l'exposition d'identifiants de connexion, de jetons de session ou d'autres données confidentielles.

La prise en charge de ces protocoles obsolètes enfreint également diverses normes de sécurité et bonnes pratiques, ce qui peut avoir un impact sur la conformité aux réglementations telles que PCI-DSS.

Recommandation

Pour atténuer les risques liés aux protocoles SSL/TLS obsolètes, tenez compte des recommandations suivantes :

1. Désactiver les protocoles obsolètes :
2. Désactivez la prise en charge de SSLv2, SSLv3, TLSv1.0 et TLSv1.1 sur tous les serveurs et applications.

3. Activez uniquement TLSv1.2 et TLSv1.3, qui sont actuellement considérés comme sécurisés.

4. Mettre à jour les bibliothèques SSL/TLS :

5. Assurez-vous que toutes les bibliothèques et implémentations SSL/TLS sont à jour avec les derniers correctifs de sécurité.

6. Envisagez d'utiliser des bibliothèques TLS modernes qui disposent de paramètres de sécurité par défaut et sont activement maintenues.

7. Configurer des suites de chiffrement robustes :

8. Utilisez des suites de chiffrement robustes qui prennent en charge la confidentialité persistante (PFS).

9. Désactivez les chiffrements et les fonctions de hachage faibles (par exemple, RC4, MD5, SHA1).

10. Mettre en œuvre une configuration TLS sécurisée :

11. Suivez les bonnes pratiques du secteur pour la configuration TLS, telles que celles fournies par le générateur de configuration SSL de Mozilla ou l'aide-mémoire TLS de l'OWASP.

12. Testez régulièrement votre configuration TLS à l'aide d'outils tels que le test de serveur SSL de SSL Labs.

13. Utiliser HTTP Strict Transport Security (HSTS) :

14. Implémentez HSTS pour vous assurer que les clients se connectent toujours à votre serveur via HTTPS, empêchant ainsi les attaques par repli.

15. Envisager TLS 1.3 :

16. Si possible, activez la prise en charge de TLS 1.3, qui offre une sécurité et des performances améliorées par rapport à TLS 1.2.

Liens

• Directives du NIST pour les implémentations TLS
• Aide-mémoire OWASP sur la protection de la couche transport

Normes

• SOC2_CONTROLS:
  • CC_6_7
  • CC_7_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
  • SECURITY255
  • SECURITY258
• PCI_STANDARDS:
  • REQ_2_3
  • REQ_4_1
  • REQ_6_5