L'exploitation de la vulnérabilité est basée sur la négociation protocolaire entre le client et le serveur. Le client force le serveur à utiliser SSLv3 qui est une ancienne version du protocole SSL/TLS. L'attaquant sera en mesure de déchiffrer une partie du trafic réseau vers des sites sécurisés et de récupérer des cookies de session HTTPS.

Il est possible de configurer les navigateurs afin de les empêcher d'utiliser cette version du protocole :

• pour Internet Explorer, aller dans les "options internet" puis dans l'onglet "Avancé", dans la liste déroulante, décocher la case "SSL 3.0" ;

•pour Firefox (fonctionne aussi pour Thunderbird), dans la barre d'adresse, taper "about:config" puis rechercher "security.tls.version.min" et changer sa valeur à 1 ;

Pour les applications basées sur l'API Cryptographique de Windows (CAPI), il est possible de modifier la clé de registre suivante :

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\

Protocols\SSL 3.0\Client] "Enabled"=dword:00000000

http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/CERTFR-2014-ALE-007.html