Une nouvelle technique de piratage baptisée BREACH (ou “violation”) peut extraire les jetons de connexion, les numéros d’ID de session et autres informations sensibles liées au trafic Web chiffré via SSL/TLS en seulement 30 secondes.
La technique a été démontrée lors de la conférence Black Hat 2013 de sécurité à Las Vegas (présentation PDF disponible ici) avec les chercheurs Neal Harris et Angelo Prado, qui permet aux pirates de décoder les données chiffrées via le protocole sécurisé HTTPS, largement utilisé par les banques en ligne et les sites de commerce électronique.
BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) est très ciblé et ne permet pas de déchiffrer l’ensemble du canal sécurisé. BREACH manipule la compression des données pour en extraire des fragments d’informations à partir de données protégées HTTPS, y compris les adresses électroniques, les jetons de sécurité, et d’autres chaînes de texte brut.
Angelo Prado a déclaré : “Nous utilisons une compression oracle qui met à profit les éléments constitutifs du crime, sur un contexte de compression différent.” Pour exécuter l’attaque oracle, BREACH exploite l’algorithme de compression deflate standard utilisé par de nombreux sites afin d’économiser de la bande passante.
L’attaquant vient écouter continuellement ??le trafic chiffré entre une victime et un serveur Web et l’exploit nécessite que la victime accède à un premier un lien malveillant, ce qui peut être fait en intégrant une balise iframe dans une page que la victime fréquente.
La récupération des cookies d’authentification ouvre la porte aux pirates afin de se présenter comme leurs victimes et de détourner des sessions Web authentifiés. Il est important de noter que l’attaque est agnostique à la version de TLS/SSL, et ne nécessite pas de compression TLS. En outre, l’attaque fonctionne contre tout algorithme de chiffrement.
[youtube pIKIXQNFplY nolink]
Les commentaires sont fermés.