SSL, Poodle et PayPal

En septembre 2014, une nouvelle vulnérabilité a été découverte dans le protocole SSLv3, surnommé POODLE (« Padding Oracle On Downgraded Legacy Encryption »). Même si ce problème de sécurité est moins grave que le fameux Heartbleed, selon plusieurs experts, les conséquences ont été plus grandes dans le domaine du commerce électronique.

Depuis début décembre, PayPal a retiré le support du protocole SSLv3 de son API de paiement. D’autres compagnies de paiement ont également annoncé dans les dernières semaines l’arrêt du support du SSLv3.

Même si les grands éditeurs ont tous réagi rapidement et ont proposé la mise à jour de leurs modules de paiement (comme la version 3.8.1 du module PayPal de Prestashop par exemple), cela tombait dans la période la plus occupée pour bien des e-commerçants.

Ceci nous rappelle que de faire fonctionner un site de commerce électronique c’est aussi de se tenir informé des éléments de sécurité et qu’un site de vente en ligne fonctionne dans un environnement hétérogène, qui peut évoluer constamment.