SSL n’est plus sur : risque majeur pour les sites sécurisés

Lu cet après-midi dans l’excellent Presse-Citron, une faille vient d’être découverte dans le chiffrement SSL qui permet son exploitation pour decrypter les échanges sécurisés, et donc potentiellement récupérer les informations chiffrées en clair.

Je vous laisse lire l’article, clair et parfaitement écrit, pour découvrir les détails techniques, et pour les plus anglophiles d’entre vous, creuser encore plus avec les échanges des chercheurs qui ont mis à jour cette faille.

Bien utilisée, cette technique permet de casser un échange crypté en 10 minutes, et de récupérer par exemple les informations d’un compte PayPal.

De quoi avoir des frissons dans le dos ! Surtout quand on découvre que plusieurs millions de sites sont vulnérables (et les mises à jour des versions du protocole de chiffrement (TLS pour Transport Layer Security) sont complexes, longues et coûteuses, et ne sont pas compatibles avec tous les navigateurs).

Il y’a donc fort à parier que cette faille persiste un moment. La solution viendra des navigateurs (Chrome à déjà réagit et proposé un correctif), qui peuvent boucher la faille en bloquant certaines fonctions javascript, l’exploit en question, délicatement nomém BEAST (Browser Eploit Against SSL/TLS), s’appuyant sur un code javascript travaillant en relais avec un sniffer réseau.

Affaire à suivre donc, et navigateurs à patcher au plus vite …

FacebookTwitterGoogle+EmailPinterestTumblrEvernote

Dropbox en accès libre pendant 4 heures …

DropxBox, le service de stockage de données en ligne, a été en accès libre pendant presque 4 heures cette nuit. Il suffisait de connaitre l’email d’un utilisateur de DropBox et de renseigner n’importe quel mot de passe pour accéder à ses données stockées (Il fallait aussi savoir que la faille de sécurité était en cours).

Une belle boulette pour ce service en ligne, qui base une grande partie de sa communication sur le caractère sécurisé de ses données justement.

Arash Ferdowsi, le CTO (et co-fondateur) de DropBox donne plus d’informations, ainsi que des précisions sur les suites apportées à l’affaire, sur le blog de DropBox. Moins de 1% des utilisateurs se seraient connectés pendant cette période, et les logs des connexions sont en cours d’analyse pour essayer de déterminer les connexions « abusives ».

La cause : Un bug « effet de bord »‘ du à une modification apportée par un développeur et poussée en ligne peut-être un peu rapidement, qui aurait affecté les mécanismes d’authentification. Shit happens comme on dit.

Si ça ne remet pas en cause la qualité et l’intérêt de ce type de service, ça aura surement comme effet positif le renforcement du contrôle qualité dans la chaîne de développement et de mise en production, et dans les systèmes de sécurité protégeant ces services. Ce qui ne nous tue pas, nous rend plus fort dit l’adage.

Personnellement, je ne peux en tout cas qu’apprécier la façon dont réagit le management de DropBox qui choisit la transparence et la communication auprès des ses abonnés, plutôt que la traditionnelle langue de bois associé au déni le plus absurde, malheureusement trop souvent pratiqué dans notre cybermonde.

 

FacebookTwitterGoogle+EmailPinterestTumblrEvernote

SONY, expert en failles … ouvertes.

C’est une nouvelle fois SONY qui fait les frais des attaques et détournement de pages. L’éditeur de solution antivirus F-Secure dévoile sur son site une nouvelle faille dans un des sites thaïlandais de SONY (hdworld.sony.co.th) , qui aurait permis à des pirates d’installer une page redirigeant directement vers un site italien de carte de crédit, invitant les utilisateurs à saisir leurs numéros et codes.

Même si cette nouvelle boulette n’ai rien à avoir avec les hack du PSN, et même si cette fois-ci, ce ne sont pas des dizaines de milliers d’informations, potentiellement contenant des coordonnées bancaires, qui sont arrivées dans les mains des pirates, c’est quand même encore un coup dur pour SONY, qui met en avant une faiblesse dans ses procédures et services de sécurité à une grande échelle.

La page en question a été prudemment fermée par SONY dès qu’ils ont été alertés. Au moins, ils sont réactifs.

 

FacebookTwitterGoogle+EmailPinterestTumblrEvernote