SSL n’est plus sur : risque majeur pour les sites sécurisés

Lu cet après-midi dans l’excellent Presse-Citron, une faille vient d’être découverte dans le chiffrement SSL qui permet son exploitation pour decrypter les échanges sécurisés, et donc potentiellement récupérer les informations chiffrées en clair.

Je vous laisse lire l’article, clair et parfaitement écrit, pour découvrir les détails techniques, et pour les plus anglophiles d’entre vous, creuser encore plus avec les échanges des chercheurs qui ont mis à jour cette faille.

Bien utilisée, cette technique permet de casser un échange crypté en 10 minutes, et de récupérer par exemple les informations d’un compte PayPal.

De quoi avoir des frissons dans le dos ! Surtout quand on découvre que plusieurs millions de sites sont vulnérables (et les mises à jour des versions du protocole de chiffrement (TLS pour Transport Layer Security) sont complexes, longues et coûteuses, et ne sont pas compatibles avec tous les navigateurs).

Il y’a donc fort à parier que cette faille persiste un moment. La solution viendra des navigateurs (Chrome à déjà réagit et proposé un correctif), qui peuvent boucher la faille en bloquant certaines fonctions javascript, l’exploit en question, délicatement nomém BEAST (Browser Eploit Against SSL/TLS), s’appuyant sur un code javascript travaillant en relais avec un sniffer réseau.

Affaire à suivre donc, et navigateurs à patcher au plus vite …

FacebookTwitterGoogle+EmailPinterestTumblrEvernote
Tags :

Commentaires

Laisser une Réponse