Nouvelle faille dans le chiffrement SSL et TLS
Des chercheurs ont trouvé une faille critique dans le fonctionnement des méthodes de chiffrement web TLS et SSL qui permettrait à une personne malintentionnée de prendre la place de l’utilisateur.
Comment s’infiltrer dans une communication « sûre ».
Le premier problème est que les scientifiques ont publié les résultats de leur recherche en expliquant comment s’y prendre pour exploiter ladite faille. Le second est que, selon eux, la combler reviendrait à modifier le fonctionnement du TLS et du SSL, ce qui signifie que tout correctif va prendre un temps considérable, voire ne jamais sortir.
Le maillon faible se trouve dans le processus d’authentification cryptographique. Alors que la machine cliente et le serveur valident leur communication, un temps mort dans leur relation permet à un pirate de prendre le flux de données en otage. Le pirate peut alors exécuter les transactions au nom de la victime.
Le TLS a besoin d’un remplaçant ?
Un rapport a été présenté à un consortium dédié à la sécurité sur Internet et regroupant des entreprises comme Cisco, IBM, Intel, Juniper Networks, Microsoft et Nokia. L’IETF (le détachement d’ingénierie d’Internet) et divers projets open source implémentant le SSL ont aussi élé alertés.
La dernière faille SSL en date remonte à l’été dernier (cf. « Une faille dans les certificats SSL dévoilée ») et concernait le certificat. En l’espèce, il faudra attendre de voir la réelle portée du problème et sa popularité auprès des pirates, mais il est clair que la méthode TLS commence à montrer de sérieux signes de faiblesse.
- Moblin passe en version 2.1
- NVIDIA pourrait-elle proposer du x86 ?
- DFI : le socket LGA1156 en Mini ITX
- Free gagne des abonnés, Alice en perd
- Bientôt le retour du TRIM chez Intel
- L'iPod touch menace-t-il Sony et Nintendo ?
- Lenovo : plus de Fn à l'extrême gauche
- 35 millions de netbooks en 2009
- Psystar viole une licence open source
- Red Hat facilite la virtualisation
- IBM cible les developpeurs Cloud
- TDJ : Radeon HD 5800 en CrossFire, …
- Quatre SSD pour remplacer un lecteur optique
- Noctua NH-D14 : 1240g d’alu, 2 ventilateurs
- Team Group : des SSD en IDE
- L'iMac n'aime pas le changement de disque dur
- Big Bang Fuzion : MSI réagit
- NVIDIA repasse dans le vert
Ouais enfin faut juste pas se faire phisher !
Bonjour
le plus inquiétant est qu'il existe des outils pour mener ce genre d'attaques si l'on en croit cet article paru ici : http://securiteoff.blogspot.com/
Même la double authentification (par le client et le serveur) n'arrange pas les choses. On a 2 temps morts...
Oui une faille mais limitée. Il faut deja se faire phisher, ou qu'il y ait eu du DNS poisonning. Et l'attaquant ne peut que exécuter des requêtes, mais pas décrypter les reponses du serveur, donc son action est fortement limitée.
Alors oui il faut chercher/creer un remplacant à TLS des maintenant car il faudra du temps pour que ce remplacant soit développé, fiable et rependu.
Mais de la à dire que TLS montres des "SERIEUX" signes de faiblesses, c'est uniquement du sensationnel.