Pour gérer vos consentements :
Categories: Cloud

Une faille dans le protocole de sécurité Internet SSL

Sécurisé, l’Internet ? Pas tant que ça. SSL (Secure Socket Layer), le protocole de sécurisation des échanges le plus utilisé sur le Net, a été cassé par une équipe de l’Ecole Polytechnique Fédérale de Lausanne (EPFL, Suisse). En moins d’une heure (mais les « attaquants » se trouvaient physiquement proche du serveur), le professeur Serge Vaudenay et un étudiant, Martin Vuagnoux, sont parvenus à trouver l’identifiant et le mot de passe d’un utilisateur utilisant Outlook Express 6. Une fois les paramètres de compte obtenus, ils pouvaient usurper l’identité de l’utilisateur afin de consulter son courrier électronique, passer des transactions financières ou autres.

En résumé, les chercheurs ont exploité un algorithme de chiffrement appelé cipher block chaining (CBC) et utilisé, parmi d’autres, dans le protocole SSL. Par un jeu d’aller-retour de messages d’erreurs du serveur, ils sont parvenus à décrypter le mot de passe recherché (on trouvera les détails de l’attaque sur le site de l’EPFL). Rappelons que SSL est utilisé pour chiffrer la communication entre un terminal client et un serveur. Le navigateur crypte les données à transmettre à partir du protocole SSL, lesquelles transitent alors de manière illisible sur le réseau pour arriver au serveur qui les décrypte. Dans un navigateur, le mode SSL est généralement symbolisé par un cadenas fermé, ou encore par l’adresse Web qui commence par « https://… » (S pour « Secured »).

Une nouvelle version du protocole

Faut-il pour autant cesser toute transaction en ligne et arrêter de consulter ses e-mails ? Absolument pas. Les chercheurs ont bien sûr transmis les résultats de leurs travaux aux développeurs du SSL bien avant de dévoiler publiquement, jeudi 20 février 2003, leur découverte. Une nouvelle version du protocole (OpenSSL 0.9.7a) a été élaborée afin de garantir la confidentialité des transactions chiffrées. Jusqu’à la prochaine fois.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago