Nouvelle faille dans le chiffrement SSL et TLS
Actu suivante
Des chercheurs ont trouvé une faille critique dans le fonctionnement des méthodes de chiffrement web TLS et SSL qui permettrait à une personne malintentionnée de prendre la place de l’utilisateur.
Comment s’infiltrer dans une communication « sûre ».
Le premier problème est que les scientifiques ont publié les résultats de leur recherche en expliquant comment s’y prendre pour exploiter ladite faille. Le second est que, selon eux, la combler reviendrait à modifier le fonctionnement du TLS et du SSL, ce qui signifie que tout correctif va prendre un temps considérable, voire ne jamais sortir.
Le maillon faible se trouve dans le processus d’authentification cryptographique. Alors que la machine cliente et le serveur valident leur communication, un temps mort dans leur relation permet à un pirate de prendre le flux de données en otage. Le pirate peut alors exécuter les transactions au nom de la victime.
Le TLS a besoin d’un remplaçant ?
Un rapport a été présenté à un consortium dédié à la sécurité sur Internet et regroupant des entreprises comme Cisco, IBM, Intel, Juniper Networks, Microsoft et Nokia. L’IETF (le détachement d’ingénierie d’Internet) et divers projets open source implémentant le SSL ont aussi élé alertés.
La dernière faille SSL en date remonte à l’été dernier (cf. « Une faille dans les certificats SSL dévoilée ») et concernait le certificat. En l’espèce, il faudra attendre de voir la réelle portée du problème et sa popularité auprès des pirates, mais il est clair que la méthode TLS commence à montrer de sérieux signes de faiblesse.
Source : Slashdot
Actualités autour du même sujet
-
Actualité précédente
Une nouvelle version de l'OverDrive... -
Actualité suivante
Windows 7 se vend 3x mieux que Vista
Les offres du moment
Présence-PC a 10 ans !
Il y a 10 ans jour pour jour, 3 étudiants se réunissaient pour créer Présence PC. Nous revenons donc aujourd'hui sur la première version du site, et sur le test que nous publiâmes en décembre 1999 : celui de la carte mère Abit BE6-II. Lire la suite
-
La fraude financière ne s’arrête pas
L'avis de François Paget, membre fondateur du groupe de recherche Avert au sein de McAfee, sur l'évolution de la sécurité des transactions financières sur Internet. Lire la suite
-
Internet dans le TGV : comment ça marche ?
La SNCF a lancé ce matin un service d'accès à internet sans fil dans le TGV Est. Un pari plus difficile à relever dans un train roulant à 320 km/h. La solution implantée par la SNCF est audacieuse, et mérite que l'on s'y attarde. Attention au départ... Lire la suite
- application iphone gratuite
- ps4
- flyff serveur prive
- mettre musiques l'ipod sur l'ordinateur
- serveur hotmail
- nouvelle wii
- pine trail
- resiliation internet orange
- ordinateur tout en ecran tactile
- windows7 media center
- intel i9
- certificat freephonie iphone
- intel core i3
- pirater skyblog
- cherche.us
- pirater xbox360
- debloquer nokia 6110
- pine trail
- analyse disque dur
- adresse resiliation internet orange
Ouais enfin faut juste pas se faire phisher !
Bonjour
le plus inquiétant est qu'il existe des outils pour mener ce genre d'attaques si l'on en croit cet article paru ici : http://securiteoff.blogspot.com/
Même la double authentification (par le client et le serveur) n'arrange pas les choses. On a 2 temps morts...
Oui une faille mais limitée. Il faut deja se faire phisher, ou qu'il y ait eu du DNS poisonning. Et l'attaquant ne peut que exécuter des requêtes, mais pas décrypter les reponses du serveur, donc son action est fortement limitée.
Alors oui il faut chercher/creer un remplacant à TLS des maintenant car il faudra du temps pour que ce remplacant soit développé, fiable et rependu.
Mais de la à dire que TLS montres des "SERIEUX" signes de faiblesses, c'est uniquement du sensationnel.