Des hackers découvrent une vulnérabilité dans les protocoles de sécurisation TLS

20 septembre 2011 à 17h31
0
Thai Duong et Juliano Rizzo, deux spécialistes en sécurité ont découvert une vulnérabilité dans les versions 1.0 et antérieures des protocoles de sécurisation TLS (Transport Layer Security). Ils vont présenter prochainement le résultat de leurs recherches par une preuve de faisabilité (PoC) lors de la conférence Ekoparty.

00FA000001967508-photo-http-logo.jpg
Deux experts en sécurité ont découvert une vulnérabilité portant sur les versions 1.0 et antérieures des protocoles de sécurisation TLS. Ces protocoles servent non seulement à authentifier un serveur mais également à chiffrer la session d'un utilisateur.

Les deux spécialistes vont présenter leur trouvaille via une preuve de faisabilité (Proof of Concept) lors de la prochaine conférence Ekoparty qui se déroulera en Argentine du 21 au 23 septembre. Juliano Rizzo explique d'ores et déjà être capable de déchiffrer les tokens (jetons de sécurité) et les cookies des requêtes https. Le hacker précise : « notre exploit utilise une vulnérabilité présente dans les implémentations SSL/TLS des principaux navigateurs Web à l'heure actuelle ».

Précisément, l'outil appelé « BEAST » (Browser Exploit Against SSL/TLS) utilise un code JavaScript malveillant fonctionnant avec un sniffeur réseau. Il permet ensuite de décrypter un cookie chiffré. Selon les experts, leur exploit fonctionne donc également pour les pages https.

Même si les versions 1.1 et 1.2 du protocole ne sont pas concernés par cette vulnérabilité, l'exploit mérite d'être souligné. En effet, à ce jour, la plupart des sites (notamment de E-commerce) utilisent encore ces versions 1.0 et antérieures du protocole TLS. Cet exploit pourrait donc pousser certaines plateformes à migrer vers une sécurisation plus efficace.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Recalbox débarque sur les dernières consoles portables de Hardkernel
Pokémon : les remakes de Diamant / Perle et un action-RPG inédit annoncés
Soldes : les meilleures offres high-tech chez Amazon et Cdiscount
Le forfait mobile B&You 5 Go à moins de 5€ est de retour ce week-end !
Test Cambridge Audio Melomania Touch : des intras encore un peu plus convaincants
L'opérateur RED by SFR va à l'essentiel avec son forfait 5 Go à prix mini !
Spotify va vous permettre de trier vos chansons par genre ou par humeur
Brave annonce de nouvelles fonctionnalités pour accélérer l’adoption des crypto-monnaies
Soldes Cdiscount : cette TV Continental 50
Neurodeck, le jeu de deckbuilding toulousain sur la santé mentale, prend date sur PC et Nintendo Switch
Haut de page