Encore une nouvelle faille découverte dans le monde de la cryptographie et des communications, qui touche SSLv3, un protocole de chiffrement de communications, en principe obsolète mais encore utilisé lors des échanges avec HTTPS avec d'anciens navigateurs ou serveurs web.

Cette faille, nommée POODLE ("Padding Oracle On Downgraded Legacy Encryption") ne touche pas une implémentation, mais le protocole SSLv3 lui-même, protocole créé en 1996, et rendu obsolète par TLS en 1999.
Cette faille est dû au fait que certaines informations lors des échanges ne sont pas définies, permettant à des personnes malveillantes de manipuler et de décrypter les données (« décrypter » = « déchiffrer sans la clef de déchiffrage »).

Alors, pas trop de soucis à ce faire, il existe le protocole TLS, qui le remplace et le surpasse même, et ce depuis sa création en 1999. Alors, pourquoi avons-nous encore SSLv3 ? En parti pour le support de Internet Explorer 6, qui ne supporte pas au dessus de SSLv3.

En prime, glaner dans les docs de Mozilla, voici comment faire pour forcer le support TLS dans le navigateur web Mozilla Firefox :
- tapez dans votre barre d'adresse "about:config",
- cliquez sur "promis, je ferai attention",
- cherchez l'entrée "security.tls.version.min",
- modifiez sa valeur (double-clic, ou clique-droit), et remplacez la valeur par défaut "0" par "1",
- voilà, les modifications sont enregistrées, vous pouvez donc vérifiez en testant sur l'adresse https://www.poodletest.com/

D'autres sources, en français :
https://www.nextinpact.com/news/90427-la-faille-poodle-sslv3-permet-decrypter-donnees-sur-connexion.htm
https://www.numerama.com/magazine/30934-poodle-google-devoile-une-faille-critique-dans-ssl-30.html