Juliano Rizzo et Thai Duong, deux informaticiens spécialisés dans la sécurité, avaient prévenu tout le monde : lors de la conférence Ekoparty, qui avait lieu à Buenos Aires la semaine dernière, ils présenteraient un exploit permettant de pirater une liaison sécurisée à l'aide du protocoleprotocole SSL/TLS 1.0. Ses auteurs l'ont baptisé Beast (« la bête »), pour Browser Exploit Against SSL/TLS.
Et ils l'ont fait. Sous le titre Here come the Ninjas, un article complet détaille la méthode. Pourtant, leur technique exploite une faillefaille connue depuis 2001... et corrigée depuis. Une procédure de contournement a été intégrée à la bibliothèque de fonctions de cryptographie OpenSSL puis la faille a été comblée dans TSL 1.1 et n'a pas été réouverte dans TSL 1.2. Mais leur exploit demeure d'actualité puisque, dans les navigateurs comme sur les serveurs des sites Web, TSL 1.0 reste le protocole le plus utilisé aujourd'hui et que la bibliothèque NSS est préférée à OpenSSL, et ce pour des raisons de compatibilité.
Une attaque complexe
Pour autant, il ne semble y avoir péril en la demeure. La méthode de piratage démontrée par les deux informaticiens est vraiment complexe et, surtout, exige un accès à l'ordinateur connecté au site, via le réseau local. Le pirate doit intercepter les communications entre l'ordinateurordinateur et le site et envoyer lui-même un fichier pour parvenir à décrypter l'échange. C'est le principe dit « man-in-the-middle » qui permet de déjouer les systèmes de cryptographie à clés publiques, en envoyant un texte et en analysant ensuite comment il a été codé.
Conclusion : dans un réseau Wi-Fi bien sécurisé ou en dehors de tout réseau local, on ne risque rien. Peut-être faut-il éviter d'effectuer des paiements par carte bancaire depuis un cybercafé...
Comparatifs et bons plans
Maison
Maison
Profitez de l'été en toute sérénité avec le Kit Piscine hors sol ronde GRE Louco à prix réduit
Tech
PC
Le PC gaming ultime : Découvrez le Megaport Falcon, la puissance entre vos mains !
Tech
Montre connectée
Amazon brise le prix de la montre connectée Huawei Watch GT 3 Pro : une remise à ne pas rater !
Tech
box internet
Les box internet en test 2022
Tech
ventilateur USB
ventilateurs USB - notre comparateur 2022
Tech
tablette 8 pouces
Les meilleures tablettes 8 pouces pour un choix simple
Tech
prixtel
Sélection des meilleurs forfaits mobiles Prixtel
par Jean-Luc Goudet
le 30 septembre 2011
au sommaire
Comparatifs et bons plans
Maison
Maison
Profitez de l'été en toute sérénité avec le Kit Piscine hors sol ronde GRE Louco à prix réduit
Tech
PC
Le PC gaming ultime : Découvrez le Megaport Falcon, la puissance entre vos mains !
Tech
Montre connectée
Amazon brise le prix de la montre connectée Huawei Watch GT 3 Pro : une remise à ne pas rater !
Tech
box internet
Les box internet en test 2022
Tech
ventilateur USB
ventilateurs USB - notre comparateur 2022
Tech
tablette 8 pouces
Les meilleures tablettes 8 pouces pour un choix simple
Tech
prixtel
Sélection des meilleurs forfaits mobiles Prixtel
