Aperçu

Qu'est-ce que Poodle ?

Poodle est le nom d'une nouvelle faille de sécurité Internet affectant SSL 3.0 (Secure Sockets Layer), un protocole conçu pour sécuriser les connexions Internet. L'exploitation de cette vulnérabilité permet aux cybercriminels d'accéder à des connexions censées être sécurisées par l'intermédiaire de ce protocole de sécurité particulièrement exploité, mais vieux de 15 ans.

Quelles sont les mesures prises par PayPal ?

Nous allons intégralement cesser notre prise en charge du SSL 3.0 le 3 décembre 2014. Nous sommes toutefois conscients qu'une telle décision peut engendrer des problèmes de compatibilité pour certains clients, les empêchant de payer avec PayPal sur les sites de marchands, entre autres conséquences. Pour évaluer votre situation et trouver une solution à vos éventuelles difficultés, nous avons créé ce Guide des mesures applicables aux marchands. Utilisez-le pour vérifier que votre intégration n'est pas menacée par cette vulnérabilité.

Ce que vous devez faire...

1. Vérifiez votre intégration actuelle dans l'environnement de test PayPal

Si vous disposez d'une intégration directe avec PayPal, procédez comme suit :

a. Dirigez-vous vers notre environnement de test :
https://developer.paypal.com/docs/classic/lifecycle/ug_sandbox/

  • Le SSL 3.0 ayant déjà été désactivé dans l'environnement de test PayPal, si vous arrivez à lancer une requête API (interface de programmation), c'est que vous ne l'utilisez pas.

b. Si votre requête n'aboutit pas, vérifiez vos journaux pour en connaître la raison.

  • Si vous repérez une erreur similaire à celles indiquées ci-dessous, c'est que vous utilisez le SSL 3.0. Vous devrez alors configurer votre connexion sécurisée pour le remplacer par le TLS (Transport Layer Security).
CODE * Erreur protocole SSL inconnu, échec de la connexion sécurisée à api-3t.sandbox.paypal.com:-9824

OU

CODE 140062736746144:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337: ... Nouveau, (AUCUN), Chiffrage (AUCUN) Renégociation sécurisée non prise en charge Compression : AUCUNE Expansion : AUCUNE Session SSL : Protocole : SSLv3 ...

2. Passez au TLS

Tous les utilisateurs PayPal doivent désactiver le SSL 3.0 pour leurs interactions clients et passer au TLS avant le 3 décembre 2014. Le tableau suivant contient des instructions de base permettant de remplacer le SSL par le TLS grâce à l'utilisation de langages et modes de connexion courants. Notez que les paramètres exacts peuvent varier en fonction de votre installation.

Mode de connexion Action
Kit de développement PayPal Aucune version ni aucun langage actuel du kit de développement PayPal n'utilisent le SSL 3.0. Toutefois, les kits de développement PHP et Java ayant récemment été mis à jour pour faire face à la situation, tous les marchands doivent télécharger les dernières versions disponibles (ultérieures au 21 octobre 2014). Si vous ne savez pas quelle version du kit de développement vous utilisez, testez votre intégration dans notre environnement de test comme expliqué dans l'étape 1.

Point de terminaison API Vérifiez que vous vous connectez aux points de terminaison API de PayPal via le TLS 1.0 ou 1.2 (tous les points de terminaison ne sont pas pris en charge par le TLS 1.1 pour le moment). Consultez les éléments ci-dessous pour configurer le protocole TLS pour le langage que vous utilisez.
Langage Action
Ruby Définissez le protocole TLS sur OpenSSL::SSL::SSLContext.
Python Configurez le protocole TLS sur ssl.SSLContext.
Node.js Utilisez la limite de renégociation correcte comme indiqué ici :
PHP Modifiez CURLOPT_SSLVERSION en CURL_SSLVERSION_TLSv1 dans vos options cURL.
Java Configurez le protocole TLS sur javax.net.ssl.SSLContext.
C# Utilisez SecurityProtocolType Tls.

3. Créez de nouveaux identifiants (facultatif)

Après être passé au TLS et l'avoir testé, vous pouvez créer de nouveaux identifiants API pour toutes vos requêtes API PayPal. Cette étape est fortement conseillée, mais pas obligatoire. Basez votre décision sur les risques encourus par votre entreprise et vos clients.

Merci

Nous vous remercions de l'attention que vous portez à ce problème et de votre compréhension face à notre approche. Nous savons que notre décision peut créer des problèmes de compatibilité, mais nous tenons vraiment à souligner combien cette gêne temporaire nous permettra d'assumer nos engagements de sécurité envers nos utilisateurs. Nous vous tiendrons informé des mesures à venir via le blog (en anglais) PayPal Stories, notre page Twitter, notre Service clientèle et par l’intermédiaire de notre équipe Solutions e-commerce. Merci pour votre patience et votre compréhension. Nous faisons tout notre possible pour préserver la sécurité de vos informations financières.