Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

HTTPS révélerait les données privées des internautes lors de la navigation
Selon une analyse de chercheurs américains

Le , par Francis Walter

22PARTAGES

3  1 
HTTPS est réputé comme étant un protocole qui garantit l’intégrité et la confidentialité des données envoyées par un hôte en raison de ses algorithmes de chiffrement et de son système de validation de certificat. Même si des tiers sont parvenus à contourner sa couche de sécurité, avec par exemple des attaques de type Man In The Middle, il reste très utilisé dans les systèmes de paiement électronique, de transactions bancaires en ligne et autres.

Quatre chercheurs américains ont fait une analyse du trafic du protocole HTTPS et montrent que le trafic web laisse suffisamment d’informations pour être retracé même lorsqu’il est chiffré. Ils ont mis en place une attaque qui leur a permis de reconstituer tout le trafic des utilisateurs sur des sites web sécurisés par HTTPS. Concrètement, ils ont pu savoir les pages web que les utilisateurs ont visitées et récupérer des informations qu’ils ont partagées, notamment au niveau des formulaires. Le test a été effectué sur 6000 pages de 10 sites web avec 89% de précision. Les informations recueillies sur les sites web sont celles relatives à la santé, la finance, la justice et l’orientation sexuelle.

Les chercheurs expliquent que leur « attaque applique des techniques de clustering pour identifier des échantillons dans le trafic. Ils utilisent ensuite une distribution gaussienne pour déterminer la similitude de chaque groupe et de cartographier les échantillons du trafic en une représentation largeur fixe compatible avec un large éventail de techniques d'apprentissage machine ». Ils ont nommé leur attaque « Bag of Gaussians » en raison de sa similitude avec l’attaque « Bag-of-Words ».

Selon les chercheurs, cette faiblesse de HTTPS peut être exploitée pour procéder à une surveillance en ligne par les agences de renseignement. Cependant, les chercheurs ont émis des moyens de protection.

Pour prévenir une attaque similaire à celle des chercheurs, les utilisateurs peuvent ouvrir plusieurs pages différentes dans les onglets de leur navigateur. Ça pourrait aider à brouiller les pistes lors de la reconstitution du trafic. Par ailleurs, l’attaque suppose que la structure des liens est respectée, donc lorsqu’un utilisateur ne respecte pas correctement ladite structure, l’attaque peut s’avérer plus difficile à faire.

Source : Rapport des chercheurs américains

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Pelote2012
Membre chevronné https://www.developpez.com
Le 18/03/2014 à 15:25
Vivement le HttpSS (super secure)
1  0 
Avatar de Jimmy_
Membre éprouvé https://www.developpez.com
Le 26/03/2014 à 16:53
Bonjour,

Rien d'étonnant, c'est une variante de l'attaque par mot probable.
Dans un formulaire par exemple il est probable qu'on te demande si tu es un homme ou une femme.
Rechercher ensuite homme dans un flux correctement retraité est un jeu d'enfant.

De toute manière RSA1024 encore utilisé par certains sites n'est plus très fiable, certaines clés trop faible sont vulnérables.
HTTPS va avoir très bientôt besoin d'un sérieux lifting ...
1  0