Le protocole HTTPS en danger ?
L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS

Le , par Hinault Romaric, Responsable Actualités
Après avoir subi bon nombre d’attaques par le passé, notamment lucky 13, the beast, et les attaques sur Oracle, TLS (Transport Layer Security) est de nouveau mis sur la scène par cinq cryptanalystes.

TLS est le protocole qui permet de préserver l’intégrité et la confidentialité des données transitant dans un réseau public comme Internet. Pratiquement, il est utilisé pour sécuriser le trafic web et les transactions d’e-commerce. Au moins 50 % du trafic sécurisé par TLS est chiffré par l’utilisation de l’algorithme RC4.

Cet algorithme est également utilisé par de nombreux sites Web pour le chiffrement des transactions pour le protocole HTTPS, y compris Google et les sites bancaires et commerciaux.

Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering et Jacob Schuldt sont les cinq chercheurs qui ont trouvé la nouvelle attaque contre l’algorithme RC4 utilisé par TLS.

Par ailleurs sont affectées toutes les versions de SSL (Secure Sockets Layer) et TLS prenant en charge RC4.

L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe et les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.

Cependant, l’établissement des sessions nécessaires à l’attaque peut se faire de plusieurs manières. Sur leur page officielle, les auteurs évoquent l’utilisation d’un malware du côté client comme dans l’attaque de The Beast. Par ailleurs, un pirate peut forcer une connexion TLS établie à se terminer de façon à ce que soient renvoyés les mots de passe ou cookies pour rétablir la liaison perdue.

Les experts recommandent fortement l’abandon de RC4 au profit des algorithmes comme AES-GCM. Cependant, il existe des patchs pour les versions de TLS prenant en charge RC4. En outre, modifier le comportement du navigateur peut également être d’une grande aide pour stopper cette attaque.

Source : ISG

Et vous ?

Cette attaque pourrait-elle signifier que HTTPS a été cassé ?

Vu la popularité de TLS sur la toile, doit-on s’alarmer après les résultats de cette recherche ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de link66 link66
http://www.developpez.com
Membre régulier
le 19/03/2013 13:41
Citation Envoyé par Hinault Romaric  Voir le message
L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe, les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.

Il faut quand même envoyer la même information 16 millions de fois... Donc mis à part dans le cas d'un malware qui force cela, l'attaque reste improbable.
Avatar de spyserver spyserver
http://www.developpez.com
Membre confirmé
le 20/03/2013 11:21
tout à fait d'accord link66
Avatar de dolanor dolanor
http://www.developpez.com
Membre habitué
le 21/03/2013 10:35
Dire que https est cassé est un bien grand mot. D'après moi, ça doit être assez souple pour indiquer d'utiliser de l'AES au lieu de RC4 directement dans la session. Je ne suis même pas sur qu'il faille même regénérer les certificats SSL.

La nouvelle indique surtout que RC4 n'est plus sécurisé en tant que tel dans le protocole SSL/TLS.

C'est comme les récentes attaques sur SHA1, pour OpenPGP/GPG, ça consiste à changer la configuration de son client OpenPGP pour utiliser du SHA-2 (SHA256, SHA512, …) à la place. Et hop, on peut renvoyer des mails/documents chiffrés/signés.

(Bon, il y a une autre problématique d'OpenPGP liée à SHA1 et pour cela il faut changer le code. Mais en soit, faire des doublons SHA1 n'est pas aussi évident que cela et l'usurpation d'identité PGP n'est pas pour demain. Et d'ici là, les clients OpenPGP utiliseront surement SHA-2 par défaut ou intégreront SHA-3)
Avatar de Bigb Bigb
http://www.developpez.com
Invité de passage
le 21/03/2013 17:01
Disons que TLS est de moins en moins sûr au fil des années, et que ces attaques permettent au grand public et sites ecommerce d'en prendre conscience.
Avatar de Pelote2012 Pelote2012
http://www.developpez.com
Membre Expert
le 22/03/2013 9:41
bah au bout de combien d'année de bon et loyaux services ... Il faut évoluer aussi les sécurités sachant qu'il y aura toujours un esprit éclairé pour trouver une faille ...
Bon maintenant, 16 million de fois le mêm infos ... Peut-être qu'on peut dire que notre serveur refuse de répondre au bout d'un certains nombre de fois concécutives ... ou de réinitialiser complètement la connexion
Avatar de cr06230 cr06230
http://www.developpez.com
Invité de passage
le 26/03/2013 10:10
Oui, bien d'accord. le risque reste très théorique.
Avatar de Progmeur Progmeur
http://www.developpez.com
Invité régulier
le 26/03/2013 10:54
"HTTPS" sa a toujours été une grosse blague, la plupart des hack se font a cause des négligences des développer, ce qui créer donc : "des failles", que tu soit en HTTPS ou en HTTP, si une faille xss (pour citer la plus connue) est exploiter via une insertion javascript, le hacker auras ton login, ton mot de passe, ta carte bancaire, ect...

Il n'y as pas longtemps, toute les personnes se connectant sur google plus se sont prix un beau trojan. Google reste un site en plus d’être un moteur de recherche, et c'est sans doute l'un des plus sécuriser du monde, il y a eu facebook aussi qui c'est régulièrement fait hacker. Le "HTTPS" a surtout été conçue pour que l'utilisateur se sente en sécurité, pour le rassuré. Car certes les données sont plus sécuriser mais dans un site toute les pages ne sont pas en HTTPS, et hop on chope la base de donné, le mots de passe admin et merci pour les cartes de crédits. Enfin il reste les failles ftp et celles dans le même genre et le HTTPS ne peut rien y faire.
Avatar de ram-0000 ram-0000
http://www.developpez.com
Responsable Réseaux
le 26/03/2013 11:53
Citation Envoyé par Progmeur  Voir le message
"HTTPS" sa a toujours été une grosse blague, la plupart des hack se font a cause des négligences des développer, ce qui créer donc : "des failles", que tu soit en HTTPS ou en HTTP, si une faille xss (pour citer la plus connue) est exploiter via une insertion javascript, le hacker auras ton login, ton mot de passe, ta carte bancaire, ect...

assez d'accord, HTTPS ne sert pas à grand chose si le site à lui même des failles liées au développement.

Citation Envoyé par Progmeur  Voir le message
Il n'y as pas longtemps, toute les personnes se connectant sur google plus se sont prix un beau trojan.

Des sources ?
Citation Envoyé par Progmeur  Voir le message
Google reste un site en plus d’être un moteur de recherche, et c'est sans doute l'un des plus sécuriser du monde

Allons allons !! sécurisé, probable, le plus sécurisé au monde, peut être pas.

Citation Envoyé par Progmeur  Voir le message
Le "HTTPS" a surtout été conçue pour que l'utilisateur se sente en sécurité, pour le rassuré.

HTTPS n'a pas été concu pour des raison marketting. Il a été concu pour :
  • Authentifier le site distant
  • Chiffrer la communication
  • Eventuellement authentifier l'utilisateur

Citation Envoyé par Progmeur  Voir le message
mais dans un site toute les pages ne sont pas en HTTPS, et hop on chope la base de donné, le mots de passe admin et merci pour les cartes de crédits.

Un peut simpliste comme vision. Ce n'est pas parce qu'un site est en HTTP et pas en HTTPS que tu pourras forcément récupérer la base de données et le mot de passe admin.
Avatar de Progmeur Progmeur
http://www.developpez.com
Invité régulier
le 26/03/2013 12:09
Je suis pas habitué a écrire autant (oui c'est beaucoup pour moi) je me suis donc un peut perdue.
Les source du hack google plus , c'est juste un ami qui m'en a parler, j'ai pas chercher a vérifier, pour ceux sur facebook, il y a juste a aller sur youtube.

Et pour google, j'ai pas dis que c'était le site le plus sécuriser au monde mais un des sites les plus sécuriser au monde, en même temps c'est surement le plus visité finalement.

Certes le HTTPS n'as pas été créer pour le marketing, mais on trouvera toujours des failles liée aux négligence des développer, alors finalement s'a sert surtout a sa.

Un peut simpliste comme vision. Ce n'est pas parce qu'un site est en HTTP et pas en HTTPS que tu pourras forcément récupérer la base de données et le mot de passe admin.

Je me suis mal exprimer, ce que je veut dire c'est que si il y a une faille ftp sur le site, le HTTPS ne changeras rien.
Offres d'emploi IT
Maîtrise d'ouvrage h/f
Stage
Société Générale France - Ile de France - Paris La Défense
Parue le 07/10/2014
Capitaine php naviguant en saas sur les rivières de l’open innovation h/f
CDI
Mobiskill - Ile de France - Saint-Cloud (92210)
Parue le 24/10/2014
Développeur passionné php-poo
CDI
ANTHEMIS - Rhône Alpes - Villeurbanne (69100)
Parue le 14/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula