Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Revenir vers la liste d'actualités

Applications de banque en ligne utilisant le protocole SSL v.2 : explication des risques inhérents à ce protocole.

Le 16 février 2017

Le support technique Doctor Web a reçu des demandes d’utilisateurs de nos produits qui utilisent des applications bancaires en ligne via le protocole non sécurisé SSL v.2. À cet égard, nous publions les précisions suivantes.

À l'heure actuelle, en raison de nombreuses vulnérabilités dans SSL v.2, l'utilisation de ce protocole, ainsi que des applications l'utilisant, n'est pas sécurisée.

Son utilisation rend notamment possibles les attaques de type "man in the middle" (attaques MITM) et les attaques pouvant modifier le cours de la transmission de données. L'algorithme de hachage actuellement en vigueur dans SSL v.2 est également compromis et il n’est pas recommandé de l’utiliser.

La vulnérabilité du protocole SSL v.2 est connue depuis très longtemps, et il a été remplacé, en 1996, par la version SSL v.3, dans laquelle la vulnérabilité CVE-2014-3566 a été ultérieurement détectée. Le protocole SSL v.2 a été officiellement considéré comme obsolète en 2011 conformément à la spécification technique RFC 6176 . En raison de cette spécification, l'antivirus Dr.Web alerte ses utilisateurs à l'ouverture d’une connexion via le protocole SSL v.2.

D’après les demandes des utilisateurs Dr.Web auprès du support technique, il apparaît que certaines banques russes continuent à utiliser le protocole non sécurisé SSL v.2. Les services de support de certaines de ces banques ont même conseillé à nos utilisateurs qui avaient des problèmes avec l'antivirus Dr.Web lors de l’utilisation de leurs applications en ligne de le désinstaller, exposant à un risque sérieux les fonds de leurs propres clients.

La société Doctor Web recommande aux utilisateurs des applis non sécurisées de les mettre à jour. Si la mise à jour est impossible, les utilisateurs peuvent autoriser l'utilisation des applications y compris le protocole non sécurisé dans les paramètres des produits Dr.Web .

Lorsque vous prenez une décision sur l'utilisation d'un système " banque-client", veuillez vous renseigner auprès de la banque sur la sécurité du protocole exploité par l'application. Dans le cas où il s'agit des protocoles SSL v2 ou SSL v:3. évitez d'utiliser l'application.

Les protocoles recommandés actuellement sont TLS v.1 et supérieurs.

Votre avis nous intéresse

Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments