nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 19 €/mois
Abonnez-vous à la version digitale
Les sites sécurisés sous la menace d'une faille informatique
Deux chercheurs ont exploité une faille du protocole TLS 1.0, utilisé pour sécuriser les échanges de données sur le Web. Un pirate pourrait s'en servir pour accéder à vos informations personnelles sans que vous le sachiez... y compris sur un site réputé « sûr ».
agrandir la photo
Va-t-il falloir se méfier à l’avenir des sites sécurisés ? Le site de votre banque, votre webmail ou votre réseau social favori pourraient-ils laisser filtrer des informations confidentielles à votre insu, malgré le cadenas sur votre navigateur indiquant que votre visite est sécurisée ? Deux chercheurs en sécurité le pensent. Vendredi 23 septembre, ils présenteront le fruit de leurs recherches à la conférence sur la sécurité Ekoparty, qui débute demain à Buenos Aires.
Juliano Rizzo et Thai Duong ont en effet réussi à exploiter une faille dans SSL/TLS 1.0. Un protocole important car il est utilisé par la plupart des sites Web pour chiffrer les échanges de données avec l'internaute.
Grâce à un outil de leur cru, Beast, ils ont montré qu'il était possible de détourner une session sécurisée sur un site HTTPS et de le visiter à la place de la victime sans qu'elle le sache. La vulnérabilité utilisée par les chercheurs n’est pas nouvelle. « Elle a été présentée dès la première version de SSL […] mais était jugée inexploitable », selon leurs propos, rapportés par Threatpost.
Une attaque de type « man in the middle »
L’attaque, complexe, ne serait cependant pas à la portée du premier venu. D’abord, le pirate devrait accéder au réseau local de sa victime afin d’intercepter les communications entre son PC et le Web, et notamment les cookies sécurisés HTTPS. Ensuite, le hacker devrait introduire le code de Beast dans le navigateur, par exemple grâce à une fausse publicité.
Sur l'ordinateur du pirate, un sniffer « écouterait » les connexions sécurisées par TLS tandis que Beast déchiffrerait les cookies. Selon les deux spécialistes, la procédure de décryptage prend environ 5 minutes par site.
Juliano Rizzo et Thai Duong ont contacté tous les éditeurs de navigateur afin de leur signaler cette menace. Pour le moment, seul Opera propose un correctif. Le risque ne concerne que TLS 1.0, mais les versions 1.1 et 1.2 du protocole, qui n'y sont pas exposées, ne sont utilisées que par une infime minorité des sites Web.
Avec leur étude, les chercheurs espèrent justement accélérer l’adoption des nouvelles moutures de ce protocole de sécurité… indispensable à des échanges de confiance sur le Web.
Actu précédente
Actu Suivante
Avis sur «Les sites sécurisés sous la menace d'une faille informatique»
Pourquoi seulement Opera ?
de
Matthieu Constanzo
, posté le 21 septembre 2011 à 08h54
Que font les autres éditeurs de navigateurs ? Ca craint ça...On nous berne avec leurs protocoles sécurisés...et ensuite on va nous dire que c'est la faute des utilisateurs...
alerter le modérateur
Urgence
de
persan_
, posté le 21 septembre 2011 à 09h01
Ils se doivent de vite réagir !
alerter le modérateur
personne n'utilise opera
de
likitorti
, posté le 21 septembre 2011 à 10h22
c'est dommage que c'est seulment Opera car ca va pas changer grand chose pour les comsomateurs du web vue que opera n'est pas trop populaire dans le marcher des navigateur .
alerter le modérateur
Pas de panique
de
abriotd5
, posté le 21 septembre 2011 à 12h22
Attendez c'est une attaque non exploité et hyper difficile à exploité (surtout à grande échelle) et réellement exploitable que depuis quelques jours. La totalité des utilisateurs est donc encore en sécurité (enfin pas vulnérable à cette faille). Il existe bien plus efficace et simple pour pirater un compte bancaire.
alerter le modérateur
Murphy l'avait prédi.
de
prometheus
, posté le 21 septembre 2011 à 13h10
Non mais c'est dingue. Quand est ce que les développeurs de solutions de sécurité se décideront enfin à intégrer la loi de Murphy dans leur processus de développement au lieu de penser continuellement à faire des économies de bouts de chandelles.
Car c'est bien connu que si une faille existe elle finira par être exploitée et cela même si elle est très compliquée à mettre en oeuvre.
Car c'est bien connu que si une faille existe elle finira par être exploitée et cela même si elle est très compliquée à mettre en oeuvre.
alerter le modérateur
tout à fait!!
de
gillou-p
, posté le 21 septembre 2011 à 16h04
tout à fait d'accord meme si elle est dur à mettre en oeuvre cette faille sera éxploiter car un pirate chevronné prend tout son temps pour la préparation de ses attaques, c'est pendant l'attaque que son temps est compter et non avant.
alerter le modérateur
publicité
à lire aussi
SUR LES MÊMES THÈMES 
