SSL, l’un des protocoles de chiffrement les plus couramment utilis\u00e9s sur Internet, a \u00e9t\u00e9 cass\u00e9 par une \u00e9quipe d’\u00e9tudiants. Ils sont notamment parvenus \u00e0 d\u00e9chiffrer le mot de passe d’un utilisateur utilisant Outlook Express 6. Usurper son identit\u00e9 et lire son courrier \u00e9lectronique aurait ensuite \u00e9t\u00e9 un jeu d’enfant. Peut-on continuer \u00e0 faire confiance aux technologies de chiffrement Internet ?<\/p>\n
aS\u00e9curis\u00e9, l’Internet ? Pas tant que \u00e7a. SSL (Secure Socket Layer<\/em>), le protocole de s\u00e9curisation des \u00e9changes le plus utilis\u00e9 sur le Net, a \u00e9t\u00e9 cass\u00e9 par une \u00e9quipe de l’Ecole Polytechnique F\u00e9d\u00e9rale de Lausanne (EPFL, Suisse). En moins d’une heure (mais les \u00ab\u00a0attaquants\u00a0\u00bb se trouvaient physiquement proche du serveur), le professeur Serge Vaudenay et un \u00e9tudiant, Martin Vuagnoux, sont parvenus \u00e0 trouver l’identifiant et le mot de passe d’un utilisateur utilisant Outlook Express 6. Une fois les param\u00e8tres de compte obtenus, ils pouvaient usurper l’identit\u00e9 de l’utilisateur afin de consulter son courrier \u00e9lectronique, passer des transactions financi\u00e8res ou autres. En r\u00e9sum\u00e9, les chercheurs ont exploit\u00e9 un algorithme de chiffrement appel\u00e9 cipher block chaining<\/em> (CBC) et utilis\u00e9, parmi d’autres, dans le protocole SSL. Par un jeu d’aller-retour de messages d’erreurs du serveur, ils sont parvenus \u00e0 d\u00e9crypter le mot de passe recherch\u00e9 (on trouvera les d\u00e9tails de l’attaque sur le site de l’EPFL). Rappelons que SSL est utilis\u00e9 pour chiffrer la communication entre un terminal client et un serveur. Le navigateur crypte les donn\u00e9es \u00e0 transmettre \u00e0 partir du protocole SSL, lesquelles transitent alors de mani\u00e8re illisible sur le r\u00e9seau pour arriver au serveur qui les d\u00e9crypte. Dans un navigateur, le mode SSL est g\u00e9n\u00e9ralement symbolis\u00e9 par un cadenas ferm\u00e9, ou encore par l’adresse Web qui commence par \u00ab\u00a0shttp:\/\/…\u00a0\u00bb pour \u00ab\u00a0Secured HTTP\u00a0\u00bb. Une nouvelle version du protocole <\/strong> Faut-il pour autant cesser toute transaction en ligne et arr\u00eater de consulter ses e-mails ? Absolument pas. Les chercheurs ont bien s\u00fbr transmis les r\u00e9sultats de leurs travaux aux d\u00e9veloppeurs du SSL bien avant de d\u00e9voiler publiquement, jeudi 20 f\u00e9vrier 2003, leur d\u00e9couverte. Une nouvelle version du protocole (OpenSSL 0.9.7a) a \u00e9t\u00e9 \u00e9labor\u00e9e afin de garantir la confidentialit\u00e9 des transactions chiffr\u00e9es. Jusqu’\u00e0 la prochaine fois.<\/p>\n [source – vnunet.fr]<\/p>\n","protected":false},"excerpt":{"rendered":" SSL, l’un des protocoles de chiffrement les plus couramment utilis\u00e9s sur Internet, a \u00e9t\u00e9 cass\u00e9 par une \u00e9quipe d’\u00e9tudiants. Ils sont notamment parvenus \u00e0 d\u00e9chiffrer le mot de passe d’un utilisateur utilisant Outlook Express 6. Usurper son identit\u00e9 et lire son courrier \u00e9lectronique aurait ensuite \u00e9t\u00e9 un jeu d’enfant. Peut-on continuer \u00e0 faire confiance aux technologies de chiffrement Internet ?<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-697","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=697"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/697\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/p>\n
<\/p>\n
<\/p>\n