Le protocole HTTPS en danger ?
L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS
Le 2013-03-19 10:44:44, par Hinault Romaric, Responsable .NET
Après avoir subi bon nombre d’attaques par le passé, notamment lucky 13, the beast, et les attaques sur Oracle, TLS (Transport Layer Security) est de nouveau mis sur la scène par cinq cryptanalystes.
TLS est le protocole qui permet de préserver l’intégrité et la confidentialité des données transitant dans un réseau public comme Internet. Pratiquement, il est utilisé pour sécuriser le trafic web et les transactions d’e-commerce. Au moins 50 % du trafic sécurisé par TLS est chiffré par l’utilisation de l’algorithme RC4.
Cet algorithme est également utilisé par de nombreux sites Web pour le chiffrement des transactions pour le protocole HTTPS, y compris Google et les sites bancaires et commerciaux.
Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering et Jacob Schuldt sont les cinq chercheurs qui ont trouvé la nouvelle attaque contre l’algorithme RC4 utilisé par TLS.
Par ailleurs sont affectées toutes les versions de SSL (Secure Sockets Layer) et TLS prenant en charge RC4.
L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe et les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.
Cependant, l’établissement des sessions nécessaires à l’attaque peut se faire de plusieurs manières. Sur leur page officielle, les auteurs évoquent l’utilisation d’un malware du côté client comme dans l’attaque de The Beast. Par ailleurs, un pirate peut forcer une connexion TLS établie à se terminer de façon à ce que soient renvoyés les mots de passe ou cookies pour rétablir la liaison perdue.
Les experts recommandent fortement l’abandon de RC4 au profit des algorithmes comme AES-GCM. Cependant, il existe des patchs pour les versions de TLS prenant en charge RC4. En outre, modifier le comportement du navigateur peut également être d’une grande aide pour stopper cette attaque.
Source : ISG
Et vous ?
Cette attaque pourrait-elle signifier que HTTPS a été cassé ?
Vu la popularité de TLS sur la toile, doit-on s’alarmer après les résultats de cette recherche ?
TLS est le protocole qui permet de préserver l’intégrité et la confidentialité des données transitant dans un réseau public comme Internet. Pratiquement, il est utilisé pour sécuriser le trafic web et les transactions d’e-commerce. Au moins 50 % du trafic sécurisé par TLS est chiffré par l’utilisation de l’algorithme RC4.
Cet algorithme est également utilisé par de nombreux sites Web pour le chiffrement des transactions pour le protocole HTTPS, y compris Google et les sites bancaires et commerciaux.
Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering et Jacob Schuldt sont les cinq chercheurs qui ont trouvé la nouvelle attaque contre l’algorithme RC4 utilisé par TLS.
Par ailleurs sont affectées toutes les versions de SSL (Secure Sockets Layer) et TLS prenant en charge RC4.
L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe et les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.
Cependant, l’établissement des sessions nécessaires à l’attaque peut se faire de plusieurs manières. Sur leur page officielle, les auteurs évoquent l’utilisation d’un malware du côté client comme dans l’attaque de The Beast. Par ailleurs, un pirate peut forcer une connexion TLS établie à se terminer de façon à ce que soient renvoyés les mots de passe ou cookies pour rétablir la liaison perdue.
Les experts recommandent fortement l’abandon de RC4 au profit des algorithmes comme AES-GCM. Cependant, il existe des patchs pour les versions de TLS prenant en charge RC4. En outre, modifier le comportement du navigateur peut également être d’une grande aide pour stopper cette attaque.
Source : ISG
Et vous ?
-
link66Membre régulierIl faut quand même envoyer la même information 16 millions de fois... Donc mis à part dans le cas d'un malware qui force cela, l'attaque reste improbable.le 19/03/2013 à 13:41
-
spyserverMembre confirmétout à fait d'accord link66le 20/03/2013 à 11:21
-
dolanorMembre habituéDire que https est cassé est un bien grand mot. D'après moi, ça doit être assez souple pour indiquer d'utiliser de l'AES au lieu de RC4 directement dans la session. Je ne suis même pas sur qu'il faille même regénérer les certificats SSL.
La nouvelle indique surtout que RC4 n'est plus sécurisé en tant que tel dans le protocole SSL/TLS.
C'est comme les récentes attaques sur SHA1, pour OpenPGP/GPG, ça consiste à changer la configuration de son client OpenPGP pour utiliser du SHA-2 (SHA256, SHA512, …) à la place. Et hop, on peut renvoyer des mails/documents chiffrés/signés.
(Bon, il y a une autre problématique d'OpenPGP liée à SHA1 et pour cela il faut changer le code. Mais en soit, faire des doublons SHA1 n'est pas aussi évident que cela et l'usurpation d'identité PGP n'est pas pour demain. Et d'ici là, les clients OpenPGP utiliseront surement SHA-2 par défaut ou intégreront SHA-3)le 21/03/2013 à 10:35 -
BigbMembre avertiDisons que TLS est de moins en moins sûr au fil des années, et que ces attaques permettent au grand public et sites ecommerce d'en prendre conscience.le 21/03/2013 à 17:01
-
Pelote2012Membre chevronnébah au bout de combien d'année de bon et loyaux services ... Il faut évoluer aussi les sécurités sachant qu'il y aura toujours un esprit éclairé pour trouver une faille ...
Bon maintenant, 16 million de fois le mêm infos ... Peut-être qu'on peut dire que notre serveur refuse de répondre au bout d'un certains nombre de fois concécutives ... ou de réinitialiser complètement la connexionle 22/03/2013 à 9:41 -
cr06230Candidat au ClubOui, bien d'accord. le risque reste très théorique.le 26/03/2013 à 10:10
-
ProgmeurEn attente de confirmation mail"HTTPS" sa a toujours été une grosse blague, la plupart des hack se font a cause des négligences des développer, ce qui créer donc : "des failles", que tu soit en HTTPS ou en HTTP, si une faille xss (pour citer la plus connue) est exploiter via une insertion javascript, le hacker auras ton login, ton mot de passe, ta carte bancaire, ect...
Il n'y as pas longtemps, toute les personnes se connectant sur google plus se sont prix un beau trojan. Google reste un site en plus d’être un moteur de recherche, et c'est sans doute l'un des plus sécuriser du monde, il y a eu facebook aussi qui c'est régulièrement fait hacker. Le "HTTPS" a surtout été conçue pour que l'utilisateur se sente en sécurité, pour le rassuré. Car certes les données sont plus sécuriser mais dans un site toute les pages ne sont pas en HTTPS, et hop on chope la base de donné, le mots de passe admin et merci pour les cartes de crédits. Enfin il reste les failles ftp et celles dans le même genre et le HTTPS ne peut rien y faire.le 26/03/2013 à 10:54 -
ram-0000Rédacteurassez d'accord, HTTPS ne sert pas à grand chose si le site à lui même des failles liées au développement.
Des sources ?
Allons allons !! sécurisé, probable, le plus sécurisé au monde, peut être pas.
HTTPS n'a pas été concu pour des raison marketting. Il a été concu pour :
- Authentifier le site distant
- Chiffrer la communication
- Eventuellement authentifier l'utilisateur
Un peut simpliste comme vision. Ce n'est pas parce qu'un site est en HTTP et pas en HTTPS que tu pourras forcément récupérer la base de données et le mot de passe admin.le 26/03/2013 à 11:53 -
ProgmeurEn attente de confirmation mailJe suis pas habitué a écrire autant (oui c'est beaucoup pour moi) je me suis donc un peut perdue.
Les source du hack google plus , c'est juste un ami qui m'en a parler, j'ai pas chercher a vérifier, pour ceux sur facebook, il y a juste a aller sur youtube.
Et pour google, j'ai pas dis que c'était le site le plus sécuriser au monde mais un des sites les plus sécuriser au monde, en même temps c'est surement le plus visité finalement.
Certes le HTTPS n'as pas été créer pour le marketing, mais on trouvera toujours des failles liée aux négligence des développer, alors finalement s'a sert surtout a sa.Un peut simpliste comme vision. Ce n'est pas parce qu'un site est en HTTP et pas en HTTPS que tu pourras forcément récupérer la base de données et le mot de passe admin.le 26/03/2013 à 12:09