Des hackers découvrent une vulnérabilité dans les protocoles de sécurisation TLS

20 septembre 2011 à 17h31
0
Thai Duong et Juliano Rizzo, deux spécialistes en sécurité ont découvert une vulnérabilité dans les versions 1.0 et antérieures des protocoles de sécurisation TLS (Transport Layer Security). Ils vont présenter prochainement le résultat de leurs recherches par une preuve de faisabilité (PoC) lors de la conférence Ekoparty.

00FA000001967508-photo-http-logo.jpg
Deux experts en sécurité ont découvert une vulnérabilité portant sur les versions 1.0 et antérieures des protocoles de sécurisation TLS. Ces protocoles servent non seulement à authentifier un serveur mais également à chiffrer la session d'un utilisateur.

Les deux spécialistes vont présenter leur trouvaille via une preuve de faisabilité (Proof of Concept) lors de la prochaine conférence Ekoparty qui se déroulera en Argentine du 21 au 23 septembre. Juliano Rizzo explique d'ores et déjà être capable de déchiffrer les tokens (jetons de sécurité) et les cookies des requêtes https. Le hacker précise : « notre exploit utilise une vulnérabilité présente dans les implémentations SSL/TLS des principaux navigateurs Web à l'heure actuelle ».

Précisément, l'outil appelé « BEAST » (Browser Exploit Against SSL/TLS) utilise un code JavaScript malveillant fonctionnant avec un sniffeur réseau. Il permet ensuite de décrypter un cookie chiffré. Selon les experts, leur exploit fonctionne donc également pour les pages https.

Même si les versions 1.1 et 1.2 du protocole ne sont pas concernés par cette vulnérabilité, l'exploit mérite d'être souligné. En effet, à ce jour, la plupart des sites (notamment de E-commerce) utilisent encore ces versions 1.0 et antérieures du protocole TLS. Cet exploit pourrait donc pousser certaines plateformes à migrer vers une sécurisation plus efficace.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Découvrez la 2CV R-Fit 100% électrique, conçue en rétrofit
La Lucid Air surpasse la Tesla Model S avec une autonomie annoncée supérieure à 800 km
Delage dévoile un hypercar hybride à 2,3 millions de dollars
Nvidia : la RTX 3080 déclinée en trois modèles se confirme et arriverait dès septembre
Hyperion dévoile une supercar à hydrogène dotée d'une autonomie de 1 600 km
Microsoft lancera son smartphone Surface Duo le 10 septembre à 1 399 $
En Allemagne, les ventes de véhicules électriques ont explosé en juillet
Le processeur Kunpeng 920 d'Huawei rattraperait le Core i9-9900K d'Intel
Horizon Zero Dawn : le portage PC critiqué pour ses nombreux bugs
Xiaomi Mi 10 Ultra : une édition anniversaire qui veut
scroll top