IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

XML Encryption : un autre standard de chiffrement tombe
Des chercheurs cassent la norme du W3C pour les Web services

Le , par Idelways

35PARTAGES

3  0 
Des chercheurs à l'université de Bochum en Allemagne affirment avoir réussi à compromettre des parties du standard de chiffrement « XML Encryption », largement utilisé pour sécuriser les Web Services.

L'exploit permet d'après Juraj Somorovsky et Tibor Jager de déchiffrer les données en transit lors d'une attaque de type « man in the middle ».

XML-Encryption est une spécification et recommandation officielle du W3C. Adaptée à la protection des transmissions entre serveurs, XML-Enc est notamment utilisée entre les sites de commerce électronique et les institutions financières (banques, plateformes de paiement...).

IBM, Microsoft et Red Hat Linux déploieraient le standard au profit d'un très grand nombre d'utilisateurs finaux, regrettent les chercheurs qui affirment avoir notifié ces entreprises de la menace.

Comme la faille des standards SSL/TLS qui continue de faire du bruit, la nouvelle attaque découverte agit sur les données chiffrées à l'aide du standard AES en mode d'enchaînement des blocs (cipher block chaining, CBC).

L'attaque intercepte les paquets de données chiffrées et change le vecteur d'initialisation utilisé par le mode CBC. L'analyse des messages d'erreurs générés par le serveur suite au trucage des ciphertext permettrait de « deviner ce que le message original était, affirment les chercheurs, dans tous les cas le résultat était clair, l'attaque fonctionne et la norme largement utilisée n'est clairement pas sans danger »

Les détails de l'attaque et les preuves de sa faisabilité seront dévoilés à l’« ACM Conference » (sur la sécurité informatique et des communications), qui aura lieu plus tard cette année à Chicago. Plusieurs présentations de cryptographie appliquée seront dédiées à cette menace.

Les chercheurs affirment qu'il n'y a pas de contre-mesure à court terme et recommandent vivement que le standard soit mis à jour.

Source : site de l'université de Bochum

Et vous ?

Que pensez-vous de cette nouvelle menace ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de youx21
Membre du Club https://www.developpez.com
Le 25/10/2011 à 8:55
Merci pour l'info,
j'attends de voir avec impatience la publie de ces recherches. Aprioris, si ils ont réussis à mener une attaque aes-cbc avec des Web Service d'autres protocoles devraient être impactés. Quand je pense aux implémentations réalisés avec mes Web Services ().... D'un autre côté SSL/TLS (1.1 pour la plus part) sont utilisés ce qui limite la possibilité d'une attaque sur WS-enc
0  0 
Avatar de FlyersWeb
Membre à l'essai https://www.developpez.com
Le 07/11/2011 à 13:00
D'un autre côté SSL/TLS (1.1 pour la plus part) sont utilisés ce qui limite la possibilité d'une attaque sur WS-enc
D'un autre côté l'utilisation de SSL/TLS peut entraîner des risques de sécurité : certificats frauduleux/non sécurisés ou DoS comme on peut le voir dans les actualités "sécurité informatique"

- http://www.ietf.org/mail-archive/web.../msg07553.html
- http://d4n3ws.polux-hosting.com/2011...ther-ssl-fail/

C'est une erreur de penser que l'utilisation de la cryptographie résout tous les problèmes ^^
0  0