Loic DL

« https »: les paiements sécurisés menacés par une faille

Le protocole de sécurité SSL/TLS 1.0, utilisé par de nombreux sites dits « sécurisés », fait l’objet d’une faille de sécurité permettant à une personne d’obtenir les informations confidentielles des visiteurs à leur insu.

Juliano Rizzo et Thai Duong, deux chercheurs en sécurité, vont présenter cette semaine un outil qu’ils annoncent capable d’exploiter une faille dans ce protocole afin de voler des informations. Nommé Beast, l’outil en question est capable de détourner une session sécurisée ("https") sur un site, et ainsi le visiter à la place de la victime à son insu. Lors de sa découverte, cette faille était jugée inexploitable. Cet outil vise donc à montrer le danger qu’elle représente.

Les deux chercheurs indiquent toutefois que l’attaque reste relativement complexe et nécessite au moins un accès au réseau local de la victime pour pouvoir exploiter la faille. Ils annoncent avoir déjà contacté les différents éditeurs de navigateurs Web afin de travailler à une solution.

Lire les commentaires (0) Ajouter un commentaire