Il y a de nouvelles raisons d’être méfiant au sujet des services Web destinés à gérer des données sensibles.
Une équipe de chercheurs allemands a révélé lors de la conférence ACM sur la sécurité informatique et des communications à Chicago cette semaine qu’ils ont découvert un moyen de décrypter les données dans les documents XML ayant été chiffrés à l’aide d’une implémentation de la norme du Consortium World Wide Web XML Encryption.
Le chiffrement XML est largement utilisé dans le cadre de services Web sécurisés (de serveur à serveur) pour transmettre des informations sécurisées mélangées avec des données non sensibles, basé sur le chiffrement de bloc de chaînage. Il peut être utilisé, par exemple, pour chiffrer les informations de carte de crédit pour un paiement via un ordre d’achat basé sur XML, de sorte que les données générales peut être consultées par toute personne qui a besoin d’avoir accès à toutes les données financières.
Mais que le chiffrement est apparemment très faible, comme Juraj Somorovsky et Tibor Jager de la Ruhr University Bochum l’ont démontré. «Nous avons été en mesure de déchiffrer les données en envoyant des chaînes modifiées vers le serveur, en recueillant des informations à partir des messages d’erreur reçus», a été écrit dans le document présenté à ACM.
Pour fixer cette vulnérabilité, il faudra une réécriture totale de la norme W3C. «Il n’y a pas de patch simple pour ce problème”, a déclaré Somorovsky dans un communiqué émis par l’Université Ruhr de Bochum. “Nous proposons donc de modifier la norme dès que possible.”