Après avoir subi bon nombre d’attaques par le passé, notamment lucky 13, the beast, et les attaques sur Oracle, TLS (Transport Layer Security) est de nouveau mis sur la scène par cinq cryptanalystes.
TLS est le protocole qui permet de préserver l’intégrité et la confidentialité des données transitant dans un réseau public comme Internet. Pratiquement, il est utilisé pour sécuriser le trafic web et les transactions d’e-commerce. Au moins 50 % du trafic sécurisé par TLS est chiffré par l’utilisation de l’algorithme RC4.
Cet algorithme est également utilisé par de nombreux sites Web pour le chiffrement des transactions pour le protocole HTTPS, y compris Google et les sites bancaires et commerciaux.
Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering et Jacob Schuldt sont les cinq chercheurs qui ont trouvé la nouvelle attaque contre l’algorithme RC4 utilisé par TLS.
Par ailleurs sont affectées toutes les versions de SSL (Secure Sockets Layer) et TLS prenant en charge RC4.
L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe et les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.
Cependant, l’établissement des sessions nécessaires à l’attaque peut se faire de plusieurs manières. Sur leur page officielle, les auteurs évoquent l’utilisation d’un malware du côté client comme dans l’attaque de The Beast. Par ailleurs, un pirate peut forcer une connexion TLS établie à se terminer de façon à ce que soient renvoyés les mots de passe ou cookies pour rétablir la liaison perdue.
Les experts recommandent fortement l’abandon de RC4 au profit des algorithmes comme AES-GCM. Cependant, il existe des patchs pour les versions de TLS prenant en charge RC4. En outre, modifier le comportement du navigateur peut également être d’une grande aide pour stopper cette attaque.
Source : ISG
Et vous ?
Cette attaque pourrait-elle signifier que HTTPS a été cassé ?
Vu la popularité de TLS sur la toile, doit-on s’alarmer après les résultats de cette recherche ?
Le protocole HTTPS en danger ?
L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS
Le protocole HTTPS en danger ?
L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !