Thai Duong et Juliano Rizzo, deux spécialistes en sécurité ont découvert une vulnérabilité dans les versions 1.0 et antérieures des protocoles de sécurisation TLS (Transport Layer Security). Ils vont présenter prochainement le résultat de leurs recherches par une preuve de faisabilité (PoC) lors de la conférence Ekoparty.
Deux experts en sécurité ont découvert une vulnérabilité portant sur les versions 1.0 et antérieures des protocoles de sécurisation TLS. Ces protocoles servent non seulement à authentifier un serveur mais également à chiffrer la session d'un utilisateur.
Les deux spécialistes vont présenter leur trouvaille via une preuve de faisabilité (Proof of Concept) lors de la prochaine conférence Ekoparty qui se déroulera en Argentine du 21 au 23 septembre. Juliano Rizzo explique d'ores et déjà être capable de déchiffrer les tokens (jetons de sécurité) et les cookies des requêtes https. Le hacker précise : « notre exploit utilise une vulnérabilité présente dans les implémentations SSL/TLS des principaux navigateurs Web à l'heure actuelle ».
Précisément, l'outil appelé « BEAST » (Browser Exploit Against SSL/TLS) utilise un code JavaScript malveillant fonctionnant avec un sniffeur réseau. Il permet ensuite de décrypter un cookie chiffré. Selon les experts, leur exploit fonctionne donc également pour les pages https.
Même si les versions 1.1 et 1.2 du protocole ne sont pas concernés par cette vulnérabilité, l'exploit mérite d'être souligné. En effet, à ce jour, la plupart des sites (notamment de E-commerce) utilisent encore ces versions 1.0 et antérieures du protocole TLS. Cet exploit pourrait donc pousser certaines plateformes à migrer vers une sécurisation plus efficace.
Olivier Robillart
Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de rempli...
Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic.
Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction.
J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
