Protocol SSL Craked

Pause Café
#1

itespresso.fr/securite-des-c … 46391.html

branchez-vous.com/techno/act … _hack.html

[quote]Utilisateurs de Twitter, Facebook, PayPal, Gmail, Amazon, etc. cette nouvelle est pour vous!

Si vous vous servez régulièrement de ces sites ou effectuez des paiements en ligne, vous savez qu’ils reposent sur le SSL, cette technologie de chiffrement qui protège vos échanges entre les sites et vous sur le Web. Le SSL se matérialise par la fameuse icône du petit cadenas.

Mais voilà que deux chercheurs sont parvenus à casser le code! Il s’agit de Thai Duong et Juliano Rizzo qui vont montrer cette semaine pendant la conférence de sécurité Ekoparty comment ils arrivent à se jouer de la sécurité SSL de PayPal avec du code bien ficelé pour pouvoir intercepter les informations à leur guise. .[/quote]

#2

Ce qu’aucun de ces articles ne mentionne, c’est que cet exploit a besoin pour fonctionner de connaître une partie des données en clair pour pouvoir casser la clé, et que ces données en clair connues doivent être envoyées plusieurs fois de suite.

En pratique, pour un navigateur web ça signifie qu’il faut d’abord injecter un bout de code Javascript malicieux dans la page. Donc mis à part pour les sites vulnérables à du XSS, les possibilités d’une attaque pratique semblent très limitées.

theregister.co.uk/2011/09/19 … aypal_ssl/

#3

on en sauras plus le 23 …
pour le moment on sais que l’outil se nomme BEAST et que l’on pourrait casser la clef en 10 minutes

h-online.com/security/news/i … 46387.html

ekoparty.org/eng/

#4

Eh ben, y’en à qui vont se faire des cheveux blancs :stuck_out_tongue:

#5

Si je me souviens bien (je vais essayer de retrouver les sources), ça ne concerne que la version 1.0 de l’implémentation TLS, les 1.1 et 1.2 n’étant pas concernées (ce qui n’empêche pas beaucoup de sites commerciaux à utiliser encore la version 1.0).

A noter (et c’est très important) que ce n’est pas SSL en tant que tel qui a été cracké mais son implémentation. C’est fondamentalement différent. L’algorithme mathématique n’est absolument par remis en cause.