Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Google prépare un correctif de la faille critique de SSL/TLS
Disponible sur Chrome 15 dans le canal Dev

Le , par Idelways, Expert éminent sénior
Mise à jour du 22 septembre 2011 par Idelways

À la découverte la faille critique des versions antérieures du protocole TLS (autrement SSL, lire ci-devant), Google réagit par la préparation d'un correctif qui colmaterait le danger sans contraindre à passer à TLS 1.1 ou 1.2.

Ce correctif, disponible sur la version instable pour développeurs de Chrome 15, agit en découpant le message en fragments pour réduire le contrôle de l'attaquant potentiel sur le texte brut à déchiffrer. Puis, en incrustant des passages aléatoires au processus, cette nouvelle approche sur Chrome plonge le code PoC de BEAST dans une marre de données déroutantes.

Cette technique n'est cependant pas nouvelle. Elle a fait son apparition en 2002 sur le logiciel libre OpenSSL, très largement utilisé sur les serveurs Web pour implémenter SSL.
Son incompatibilité avec plusieurs produits Microsoft a cependant freiné son adoption, du moins jusqu'au moment où la faiblesse jusque-là théorique de SSL/TLS est devenue un danger palpable.

C'est d'ailleurs la première fois que cette technique rentre au service du chiffrement des données au niveau du navigateur, et à destination du serveur.
Elle est conçue pour protéger les chiffrements SSL contre les attaques par récupération de texte clair (plaintext-recovery) tout en conservant la compatibilité avec la version 1 de TLS.

Diminutif de Browser Exploit Against SSL/TLS, BEAST met en exécution l'attaque de récupération de texte clair pour compromettre le chiffrement AES et décoder silencieusement les données en transite.

Plus précisément, ce type d'attaque exploite une faiblesse dans le mode de chiffrement par blocs dans lequel les données du bloc passé sont utilisées pour encoder le suivant, et ainsi de suite.

On en saura plus sur cette attaque demain 22 septembre à la conférence Ekoparty en Argentine.

Source


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 23/09/2011 à 14:58
Ne serait-il pas plus sûr de passer à des versions plus récente du protocole plutôt que de rester sur une version ancienne qui commence à montrer des faiblesses de conceptions, qui ont déjà été corrigées dans les versions récentes?
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 26/09/2011 à 22:30
On améliore pas un système en bourrant de rustine, surtout s'il existe des améliorations de ce système....
Je ne comprend pas google sur ce coup, et je ne salue clairement pas leur initiative!
Avatar de lvr lvr - Membre éprouvé https://www.developpez.com
le 04/10/2011 à 11:04
Une raison de plus d'utiliser Opera, qui intègre TSL 1.1 et TSL 1.2 !
Offres d'emploi IT
Ingénieur sécurité du si h/f
Atos - Ile de France - Les Clayes-sous-Bois (78340)
Développeur web expérimenté PHP/MySQL
KELPROMO - Ile de France - Chanteloup en Brie
BUSINESS ANALYST DECISIONNEL / BUSINESS OBJECTS H/F
Alten - Ile de France - Paris-IDF

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil