HTTPS révélerait les données privées des internautes lors de la navigation
Selon une analyse de chercheurs américains
Le 2014-03-10 10:14:13, par Francis Walter, Expert éminent sénior
HTTPS est réputé comme étant un protocole qui garantit l’intégrité et la confidentialité des données envoyées par un hôte en raison de ses algorithmes de chiffrement et de son système de validation de certificat. Même si des tiers sont parvenus à contourner sa couche de sécurité, avec par exemple des attaques de type Man In The Middle, il reste très utilisé dans les systèmes de paiement électronique, de transactions bancaires en ligne et autres.
Quatre chercheurs américains ont fait une analyse du trafic du protocole HTTPS et montrent que le trafic web laisse suffisamment d’informations pour être retracé même lorsqu’il est chiffré. Ils ont mis en place une attaque qui leur a permis de reconstituer tout le trafic des utilisateurs sur des sites web sécurisés par HTTPS. Concrètement, ils ont pu savoir les pages web que les utilisateurs ont visitées et récupérer des informations qu’ils ont partagées, notamment au niveau des formulaires. Le test a été effectué sur 6000 pages de 10 sites web avec 89% de précision. Les informations recueillies sur les sites web sont celles relatives à la santé, la finance, la justice et l’orientation sexuelle.
Les chercheurs expliquent que leur « attaque applique des techniques de clustering pour identifier des échantillons dans le trafic. Ils utilisent ensuite une distribution gaussienne pour déterminer la similitude de chaque groupe et de cartographier les échantillons du trafic en une représentation largeur fixe compatible avec un large éventail de techniques d'apprentissage machine ». Ils ont nommé leur attaque « Bag of Gaussians » en raison de sa similitude avec l’attaque « Bag-of-Words ».
Selon les chercheurs, cette faiblesse de HTTPS peut être exploitée pour procéder à une surveillance en ligne par les agences de renseignement. Cependant, les chercheurs ont émis des moyens de protection.
Pour prévenir une attaque similaire à celle des chercheurs, les utilisateurs peuvent ouvrir plusieurs pages différentes dans les onglets de leur navigateur. Ça pourrait aider à brouiller les pistes lors de la reconstitution du trafic. Par ailleurs, l’attaque suppose que la structure des liens est respectée, donc lorsqu’un utilisateur ne respecte pas correctement ladite structure, l’attaque peut s’avérer plus difficile à faire.
Source : Rapport des chercheurs américains
Et vous ?
Quatre chercheurs américains ont fait une analyse du trafic du protocole HTTPS et montrent que le trafic web laisse suffisamment d’informations pour être retracé même lorsqu’il est chiffré. Ils ont mis en place une attaque qui leur a permis de reconstituer tout le trafic des utilisateurs sur des sites web sécurisés par HTTPS. Concrètement, ils ont pu savoir les pages web que les utilisateurs ont visitées et récupérer des informations qu’ils ont partagées, notamment au niveau des formulaires. Le test a été effectué sur 6000 pages de 10 sites web avec 89% de précision. Les informations recueillies sur les sites web sont celles relatives à la santé, la finance, la justice et l’orientation sexuelle.
Les chercheurs expliquent que leur « attaque applique des techniques de clustering pour identifier des échantillons dans le trafic. Ils utilisent ensuite une distribution gaussienne pour déterminer la similitude de chaque groupe et de cartographier les échantillons du trafic en une représentation largeur fixe compatible avec un large éventail de techniques d'apprentissage machine ». Ils ont nommé leur attaque « Bag of Gaussians » en raison de sa similitude avec l’attaque « Bag-of-Words ».
Selon les chercheurs, cette faiblesse de HTTPS peut être exploitée pour procéder à une surveillance en ligne par les agences de renseignement. Cependant, les chercheurs ont émis des moyens de protection.
Pour prévenir une attaque similaire à celle des chercheurs, les utilisateurs peuvent ouvrir plusieurs pages différentes dans les onglets de leur navigateur. Ça pourrait aider à brouiller les pistes lors de la reconstitution du trafic. Par ailleurs, l’attaque suppose que la structure des liens est respectée, donc lorsqu’un utilisateur ne respecte pas correctement ladite structure, l’attaque peut s’avérer plus difficile à faire.
Source : Rapport des chercheurs américains
Et vous ?
-
Pelote2012Membre chevronnéVivement le HttpSS (super secure)le 18/03/2014 à 15:25
-
Jimmy_Membre éprouvéBonjour,
Rien d'étonnant, c'est une variante de l'attaque par mot probable.
Dans un formulaire par exemple il est probable qu'on te demande si tu es un homme ou une femme.
Rechercher ensuite homme dans un flux correctement retraité est un jeu d'enfant.
De toute manière RSA1024 encore utilisé par certains sites n'est plus très fiable, certaines clés trop faible sont vulnérables.
HTTPS va avoir très bientôt besoin d'un sérieux lifting ...le 26/03/2014 à 16:53