CVE-2011-3389

La vulnérabilité identifiée correspond à CVE-2011-3389 (attaque BEAST). Il s’agit d’une vulnérabilité ancienne (2011) qui concerne l’utilisation de protocoles de chiffrement obsolètes, en particulier TLS 1.0, dans certaines configurations HTTPS.

Le niveau de risque réel est faible, car l’exploitation de cette vulnérabilité nécessite des conditions très spécifiques : une attaque de type Man-In-The-Middle, l’utilisation de navigateurs très anciens et l’injection de code dans la session utilisateur. Les navigateurs et systèmes modernes intègrent depuis longtemps des mécanismes de protection rendant cette attaque non exploitable en pratique dans un environnement actuel.

Cette vulnérabilité apparaît encore dans les outils de scan automatisés car TLS 1.0 est toujours accepté par le serveur. Cela ne signifie pas que les données sont exposées, mais que la configuration n’est plus alignée avec les standards de sécurité actuels et les bonnes pratiques en vigueur.

Les bonnes pratiques recommandées consistent à désactiver les protocoles obsolètes TLS 1.0 et TLS 1.1 et à autoriser uniquement les protocoles sécurisés TLS 1.2 et TLS 1.3. Cette mesure permet de supprimer totalement la vulnérabilité, d’améliorer le niveau global de sécurité et de se conformer aux référentiels actuels (ANSSI, ISO 27001, bonnes pratiques éditeurs), sans impact pour les utilisateurs.

Après mise en œuvre de ces recommandations, le service HTTPS est pleinement conforme aux exigences de sécurité actuelles et ne présente aucun risque significatif lié à cette vulnérabilité.