Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 946

Attaque POODLE (CVE-2014-3566)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Attaque POODLE (CVE-2014-3566) ?

Attaque POODLE (CVE-2014-3566)Attaque par oracle de padding de 2014 contre SSL 3.0 (et certaines implémentations TLS bogués) permettant à un homme du milieu de déchiffrer des octets sensibles d'une session HTTPS.

POODLE — Padding Oracle On Downgraded Legacy Encryption — a été divulguée par des chercheurs Google en octobre 2014 sous CVE-2014-3566. Le mode CBC de SSL 3.0 n'authentifie pas les octets de padding ; un attaquant actif sur le chemin, capable de forcer le downgrade vers SSL 3.0, peut deviner un octet de plaintext toutes les ~256 requêtes en observant si le padding est accepté. Les cibles typiques sont les cookies. Une variante "POODLE on TLS" a affecté des implémentations TLS qui copiaient la logique SSLv3. Mitigations : désactiver SSL 3.0 partout, activer TLS_FALLBACK_SCSV pour empêcher les downgrades forcés, privilégier TLS 1.2/1.3 avec suites AEAD, retirer le CBC hérité.

Exemples

  1. 01

    Attaquant on-path sur un Wi-Fi public forçant le navigateur en SSL 3.0 pour voler des cookies de session.

  2. 02

    Désactivation massive de SSL 3.0 sur serveurs, navigateurs et CDN fin 2014 en réponse à POODLE.

Questions fréquentes

Qu'est-ce que Attaque POODLE (CVE-2014-3566) ?

Attaque par oracle de padding de 2014 contre SSL 3.0 (et certaines implémentations TLS bogués) permettant à un homme du milieu de déchiffrer des octets sensibles d'une session HTTPS. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.

Que signifie Attaque POODLE (CVE-2014-3566) ?

Attaque par oracle de padding de 2014 contre SSL 3.0 (et certaines implémentations TLS bogués) permettant à un homme du milieu de déchiffrer des octets sensibles d'une session HTTPS.

Comment se défendre contre Attaque POODLE (CVE-2014-3566) ?

Les défenses contre Attaque POODLE (CVE-2014-3566) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Attaque POODLE (CVE-2014-3566) ?

Noms alternatifs courants : CVE-2014-3566, Oracle de padding SSL 3.0.

Termes liés