Sondage :

Votre avis sur le site

Voir les résultats
Lire les commentaires de ce sondage(34)
  Génial !(1312 votes)
  Bien(182 votes)
  Peut mieux faire(84 votes)
  Vraiment bof(118 votes)
  Avis neutre(55 votes)

Publicité




Partenaires




Jmax-Hardware

mxdev.net

87 visiteur(s) en ligne

Le protocole SSL cracké ?

Rubrique : Sécurité informatique, écrit le 2011-09-26 12:05:02 par Troll.

Image: logo_pictosecurise.jpgLe protocole SSL, utilisé notamment pour crypter les échanges sur le web à travers le "HTTPS", comme les sites marchands, les plate-formes de paiement des banques, Paypal, etc. pourrait avoir été cracké, d'après deux chercheurs argentins.

Alors que d'habitude, les attaques faites au système de cryptage mondialement utilisé ciblent plutôt le RSA, qui est le mode de cryptage des données utilisé dans le protocole SSL (et donc HTTPS) plutôt que SSL en lui-même, cette fois-ci, Juliano Rizzo and Thai Duong affirment avoir découvert un moyen de décrypter des requêtes encryptée à la volée grâce à un logiciel BEAST qu'ils ont conçu.

La faille qu'ils exploitent est en fait connue depuis des années et concernent les protocoles TLS 1.0 et SSL jusqu'à sa version 3.0, cependant elle était considérée comme "inexploitable" et n'avait donc jamais reçu de correctif quelconque, depuis la version SSL 1.0.

Il semblerait que le mot "inexploitable" n'ait pas fait peur aux deux chercheurs argentins. En effet, les deux chercheurs ont présenté lors d'une conférence à l'Ekoparty vendredi dernier, leur logiciel BEAST (Browser Exploit Against SSL/TLS) ainsi que la méthode utilisée.

Image: rsa.gifLeur logiciel n'attaque cette fois-ci pas le système de certificat, ni le cryptage RSA. Il est ici question d'une attaque où les chercheurs ont une position de "l'homme du milieu" et vont, lors d'une requête sur un site internet utilisant des cookies de session cryptés en SSL comme Paypal, injecter un code malicieux dans le navigateur web de la victime.

Une fois ce code exécuté dans le navigateur de la victime, le logiciel BEAST va rechercher sur l'ordinateur les connexions actives utiliant par exemple le protocol TLS et récupérer ("sniffer") les paquets échangés via cette connexion et les décrypter. Pour cela, l'outil va forcer le navigateur à charger (en fond) de nouvelles pages cryptées sur le site internet visé et l'outil va décrypter, en quelques minutes, la première partie de la requête HTTPS (l'en-tête) pour en extraire le cookie, autorisant ensuite l'auteur de l'attaque, à pirater la session de l'utilisateur sur le site web en question.

Les deux chercheurs assurent que l'utilisation d'un navigateur comme vecteur de l'attaque n'est qu'une variante et que leur logiciel BEAST peut tout à fait être utilisé également pour attaquer des échanges en SSL d'autres services, comme la messagerie instantannée ou encore les VPN.

"Nous n'exploitons pas le système de "confiance" (certificats) du protocol SSL mais bien son principe de "confidentialité" même. Alors que pour résoudre un problème sur le principe de confiance du protocol SSL nécessiterait une nouvelle organisation des principes d'entités de confiance, pour résoudre un problème de confidentialité sur le protocol, c'est un tout nouveau protocol qu'il faudrait." a confié Thai Duong. "Le problème, c'est que nous avons travaillé depuis le mois de mai avec les industries utilisant SSL et les éditeurs de logiciel et à chaque nouveau patch proposé pour résoudre le problème, nous avons une montagne d'applications SSL qui sont incompatibles." a-t-il également fait remarquer.

Image: browser_logo.pngCette remarque semble être également confirmée par Opera Software, qui a confié avoir effectivement développé un patch pour leur navigateur, mais ne pas vouloir forcément le publier immédiatement sur la version stable d'Opera car cela crée un conflit avec un certain nombre de sites internet qui ne fonctionnent alors plus avec Opera. Mozilla et Google Chrome ont d'ores-et-déjà publié un patch également, uniquement pour la version de développement également pour Chrome.

Cependant, d'après les chercheurs, un patch pour les principaux navigateur n'est pas la solution au problème soulevé, seul une nouvelle implémentation du protocol pourrait résoudre le problème.

Les deux chercheurs ne sont pas inconnu du monde de la sécurité, ils avaient lors de la précédente édition de l'Ekoparty en Espagne, démontré une vulnérabilité dans ASP.net.

Image: img_22032.jpg

scoopeo    Partagez sur Yahoo! Mon Web 2.0  bookeet  pioche  Partagez sur del.icio.us  Partagez sur digg.com  Partagez sur furl.net  Add to Google spurl  simpy  Partagez sur netscape.com  Partagez sur StumbleUpon  tapemoi  Partagez sur Google Bookmarks  Partagez sur Technorati  Partagez sur blinklist  fuzz  nuouz  Partagez sur Newsvine  Partagez sur ma.gnolia 

Lire les commentaires (8)

Voir toutes les actualités



Pages : 1
leader.75 Hors ligne
Administrateur
******

Messages : 8 591
Inscription : Jan 2010
Réputation : 21
Message : #1
RE: Le protocole SSL cracké ?
La question qui se pose c'est : Est-ce qu'il existe une protection fiable pour demain ?

Image: zoran-14f6a03-1.gif
Webmaster
http://bm.etmoi.forumdesfans.com/index.php
http://roch.forumforever.com/index.php
27-09-2011 01:57 AM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Troll Hors ligne
Trolls' master
******

Messages : 15 806
Inscription : Mar 2006
Réputation : 21
Message : #2
RE: Le protocole SSL cracké ?
Aucune protection n'est fiable à 100%.

Un poste sans accent ? La faute au clavier qwerty :/
|| Merci de mettre des titres explicites !!! || La bouille à Troll ? || 
Vous voulez remercier l'équipe du forum ? Participez ! Exprimez-vous ! Revenez et parlez de ce que vous voulez ! Wink Image: actualites-informatiques-pcw.1.gif
29-09-2011 10:25 AM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
leader.75 Hors ligne
Administrateur
******

Messages : 8 591
Inscription : Jan 2010
Réputation : 21
Message : #3
RE: Le protocole SSL cracké ?
(29-09-2011 10:25 AM)Troll a écrit :  Aucune protection n'est fiable à 100%.

Ça fait peur quand même, étant donné les milliers de personnes qui payent via internet...

Image: zoran-14f6a03-1.gif
Webmaster
http://bm.etmoi.forumdesfans.com/index.php
http://roch.forumforever.com/index.php
29-09-2011 20:30 PM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Troll Hors ligne
Trolls' master
******

Messages : 15 806
Inscription : Mar 2006
Réputation : 21
Message : #4
RE: Le protocole SSL cracké ?
Ben ouaip :) .

Mais bon, tu peux aussi te faire voler ton porte-feuille dans la rue, tu sais :)

Un poste sans accent ? La faute au clavier qwerty :/
|| Merci de mettre des titres explicites !!! || La bouille à Troll ? || 
Vous voulez remercier l'équipe du forum ? Participez ! Exprimez-vous ! Revenez et parlez de ce que vous voulez ! Wink Image: actualites-informatiques-pcw.1.gif
30-09-2011 07:15 AM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
leader.75 Hors ligne
Administrateur
******

Messages : 8 591
Inscription : Jan 2010
Réputation : 21
Message : #5
RE: Le protocole SSL cracké ?
(30-09-2011 07:15 AM)Troll a écrit :  Ben ouaip :) .

Mais bon, tu peux aussi te faire voler ton porte-feuille dans la rue, tu sais :)

Je ne pense pas ! Impossible !
J'ai pas de porte-feuille :mrgreen:

Image: zoran-14f6a03-1.gif
Webmaster
http://bm.etmoi.forumdesfans.com/index.php
http://roch.forumforever.com/index.php
30-09-2011 09:37 AM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Troll Hors ligne
Trolls' master
******

Messages : 15 806
Inscription : Mar 2006
Réputation : 21
Message : #6
RE: Le protocole SSL cracké ?
Bah te faire vider les poches alors :mdr:

Un poste sans accent ? La faute au clavier qwerty :/
|| Merci de mettre des titres explicites !!! || La bouille à Troll ? || 
Vous voulez remercier l'équipe du forum ? Participez ! Exprimez-vous ! Revenez et parlez de ce que vous voulez ! Wink Image: actualites-informatiques-pcw.1.gif
03-10-2011 20:55 PM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
leader.75 Hors ligne
Administrateur
******

Messages : 8 591
Inscription : Jan 2010
Réputation : 21
Message : #7
RE: Le protocole SSL cracké ?
(03-10-2011 20:55 PM)Troll a écrit :  Bah te faire vider les poches alors :mdr:
Impossible ma femme l'a déjà fait :siffle:

Image: zoran-14f6a03-1.gif
Webmaster
http://bm.etmoi.forumdesfans.com/index.php
http://roch.forumforever.com/index.php
04-10-2011 09:02 AM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Troll Hors ligne
Trolls' master
******

Messages : 15 806
Inscription : Mar 2006
Réputation : 21
Message : #8
RE: Le protocole SSL cracké ?
:mdr:

Un poste sans accent ? La faute au clavier qwerty :/
|| Merci de mettre des titres explicites !!! || La bouille à Troll ? || 
Vous voulez remercier l'équipe du forum ? Participez ! Exprimez-vous ! Revenez et parlez de ce que vous voulez ! Wink Image: actualites-informatiques-pcw.1.gif
04-10-2011 13:54 PM
Visiter le site internet de cet utilisateur Trouver tous les messages de cet utilisateur
Pages : 1



[-]
Réponse rapide
Message
Entrez votre réponse à ce message ici.



Vérification de l'image
Vérification de l'image
(insensible à la casse)
Veuillez saisir le texte contenu dans l'image de gauche dans la zone de texte ci-dessous pour éviter les réponses automatiques.

Actualités similaires :