Deux chercheurs, Thai Duong et Juliano Rizzo, auraient réussi à craquer le protocole SSL. Ils doivent faire la démonstration de leur « BEAST » (Browser Exploit Against SSL/TLS) vendredi, lors de la conférence Ekoparty Security.
Si la nouvelle s’avère vraie, elle risque de faire très mal. Effectivement, le protocole SSL est très largement utilisé sur le Web pour « sécuriser » les échanges, sur les sites de e-commerce ou ceux des banques par exemple.
Toutefois, les chercheurs auraient craqué la version 1.0 du protocole cryptographique TLS, et non pas les versions plus récentes 1.1 et 1.2. Mais ceci ne rassure personne, puisque la grande majorité des sites utilisent encore la version 1.0. La raison : de nombreux problèmes de compatibilité avec les applications et les technologies actuelles en cas d’upgrade vers les versions plus récentes.
Le BEAST (Browser Exploit Against SSL/TLS) consiste en l’insertion d’un code JavaScript dans un navigateur et fonctionne avec un « packet sniffer » (ou analyseur de protocole) réseau capable de déchiffrer les cookies (nom d’utilisateur et mot de passe) qui permettent d’accéder à un compte. Dans The Register, Thai Duong affirme que le « BEAST est très différent de toutes les autres attaques contre HTTPS connues. Alors que celles-ci ciblent le protocole d’authentification du SSL, BEAST attaque la confidentialité du protocole. Selon nous, BEAST est la première attaque qui peut déchiffrer des requêtes HTTPS ».
[youtube BTqAIDVUvrU nolink]
Source : L’Informaticien