Le protocole SSL aurait été craqué

0

Deux chercheurs, Thai Duong et Juliano Rizzo, auraient réussi à craquer le protocole SSL. Ils doivent faire la démonstration de leur « BEAST » (Browser Exploit Against SSL/TLS) vendredi, lors de la conférence Ekoparty Security.

Si la nouvelle s’avère vraie, elle risque de faire très mal. Effectivement, le protocole SSL est très largement utilisé sur le Web pour « sécuriser » les échanges, sur les sites de e-commerce ou ceux des banques par exemple. 

Toutefois, les chercheurs auraient craqué la version 1.0 du protocole cryptographique TLS, et non pas les versions plus récentes 1.1 et 1.2. Mais ceci ne rassure personne, puisque la grande majorité des sites utilisent encore la version 1.0. La raison : de nombreux problèmes de compatibilité avec les applications et les technologies actuelles en cas d’upgrade vers les versions plus récentes. 

Le BEAST (Browser Exploit Against SSL/TLS) consiste en l’insertion d’un code JavaScript dans un navigateur et fonctionne avec un « packet sniffer » (ou analyseur de protocole) réseau capable de déchiffrer les cookies (nom d’utilisateur et mot de passe) qui permettent d’accéder à un compte. Dans The Register, Thai Duong affirme que le « BEAST est très différent de toutes les autres attaques contre HTTPS connues. Alors que celles-ci ciblent le protocole d’authentification du SSL, BEAST attaque la confidentialité du protocole. Selon nous, BEAST est la première attaque qui peut déchiffrer des requêtes HTTPS ».

[youtube BTqAIDVUvrU nolink]

 

Source : L’Informaticien

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.