contenu de la page
Connectez-vous S'inscrire
PiccMi.Com



Les sites web sécurisés HTTPS menacés, enfin pas trop...



Deux informaticiens ont obtenu un bon succès médiatique avec la démonstration qu'il est possible, en y mettant beaucoup de moyens, de pirater des échanges entre un ordinateur et un site sécurisé, en exploitant une faille connue de TSL 1.0. Mais le risque est très faible et disparaît avec TSL 1.1 et 1.2. Problème : ces deux versions tardent à être adoptées.



Les sites web sécurisés HTTPS menacés, enfin pas trop...
futura-sciences.com - Juliano Rizzo et Thai Duong, deux informaticiens spécialisés dans la sécurité, avaient prévenu tout le monde : lors de la conférence Ekoparty, qui avait lieu à Buenos Aires la semaine dernière, ils présenteraient un exploit permettant de pirater une liaison sécurisée à l'aide du protocole SSL/TLS 1.0. Ses auteurs l'ont baptisé Beast (« la bête »), pour Browser Exploit Against SSL/TLS.

Et ils l'ont fait. Sous le titre Here come the Ninjas, un article complet détaille la méthode. Pourtant, leur technique exploite une faille connue depuis 2001... et corrigée depuis. Une procédure de contournement a été intégrée à la bibliothèque de fonctions de cryptographie OpenSSL puis la faille a été comblée dans TSL 1.1 et n'a pas été réouverte dans TSL 1.2. Mais leur exploit demeure d'actualité puisque, dans les navigateurs comme sur les serveurs des sites Web, TSL 1.0 reste le protocole le plus utilisé aujourd'hui et que la bibliothèque NSS est préférée à OpenSSL, et ce pour des raisons de compatibilité.

Une attaque complexe

Pour autant, il ne semble y avoir péril en la demeure. La méthode de piratage démontrée par les deux informaticiens est vraiment complexe et, surtout, exige un accès à l'ordinateur connecté au site, via le réseau local. Le pirate doit intercepter les communications entre l'ordinateur et le site et envoyer lui-même un fichier pour parvenir à décrypter l'échange. C'est le principe dit « man-in-the-middle » qui permet de déjouer les systèmes de cryptographie à clés publiques, en envoyant un texte et en analysant ensuite comment il a été codé.

Conclusion : dans un réseau Wi-Fi bien sécurisé ou en dehors de tout réseau local, on ne risque rien. Peut-être faut-il éviter d'effectuer des paiements par carte bancaire depuis un cybercafé...

PiccMi.Com

Jeudi 6 Octobre 2011 - 12:55



Nouveau commentaire :
Twitter

Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.