Sécurité

La défaillance du HTTPS permet d’intercepter des données protégées par SSL

Les chercheurs en sécurité ont découvert et promettent de démontrer une faille de sécurité qui pourrait compromettre la sécurité de l’internet tel que nous le connaissons aujourd’hui. L’attaque surnommée CRIME (Compression Ratio Info-leak Made Easy) fonctionne sur la compression de données TLS et SPDY, cette dernière étant notamment utilisée par Google dans une série de produits en ligne.

Les sites avec HTTPS sont plus sûrs car le navigateur vérifie l’identité de la société qui gère la page et crée une couche de cryptage pour la session dans le navigateur. Les données circulent en toute sécurité, tout comme les cookies. Même s’ils sont stockés sur votre ordinateur, ils passent également par le cryptage.

Les chercheurs qui ont identifié la nouvelle forme d’attaque affirment que la vulnérabilité intercepte les cookies encore en transmission. Un cybercriminel ayant accès aux cookies d’une session encore authentifiée à, disons, Gmail pourrait utiliser les ressources de messagerie web de Google comme s’il était l’internaute légitime responsable du compte.

  Facebook pour lutter contre les fausses nouvelles partagées en photos et vidéos

Le fonctionnement de CRIME ne dépend pas de plugins spécifiques. JavaScript a servi à rendre l’attaque plus rapide, mais il est possible de l’exécuter même sans JavaScript.

La bonne nouvelle est entre les mains des représentants des principaux navigateurs. Internet Explorer, Chrome et Firefox sont immunisés contre les attaques CRIME, disent Microsoft, Google et Mozilla (respectivement). Toutefois, les navigateurs moins répandus risquent de présenter cette vulnérabilité.

Les propriétaires de smartphones devraient y prêter une attention particulière. Nous n’avons toujours pas la confirmation que les navigateurs pour appareils mobiles sont suffisamment sûrs pour que les cybercriminels n’appliquent pas la méthode CRIME.

Nous aurons bientôt plus d’informations sur le fonctionnement de CRIME. Les chercheurs présenteront les détails de la méthode lors de la conférence sur la sécurité Ekoparty, qui se tiendra le 21 septembre en Argentine.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire