Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 10 sur 10
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 788
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 788
    Points : 51 208
    Points
    51 208

    Par défaut Le protocole HTTPS en danger ?

    Le protocole HTTPS en danger ?
    L’algorithme RCA qu’il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS


    Après avoir subi bon nombre d’attaques par le passé, notamment lucky 13, the beast, et les attaques sur Oracle, TLS (Transport Layer Security) est de nouveau mis sur la scène par cinq cryptanalystes.

    TLS est le protocole qui permet de préserver l’intégrité et la confidentialité des données transitant dans un réseau public comme Internet. Pratiquement, il est utilisé pour sécuriser le trafic web et les transactions d’e-commerce. Au moins 50 % du trafic sécurisé par TLS est chiffré par l’utilisation de l’algorithme RC4.

    Cet algorithme est également utilisé par de nombreux sites Web pour le chiffrement des transactions pour le protocole HTTPS, y compris Google et les sites bancaires et commerciaux.

    Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering et Jacob Schuldt sont les cinq chercheurs qui ont trouvé la nouvelle attaque contre l’algorithme RC4 utilisé par TLS.

    Par ailleurs sont affectées toutes les versions de SSL (Secure Sockets Layer) et TLS prenant en charge RC4.

    L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe et les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.

    Cependant, l’établissement des sessions nécessaires à l’attaque peut se faire de plusieurs manières. Sur leur page officielle, les auteurs évoquent l’utilisation d’un malware du côté client comme dans l’attaque de The Beast. Par ailleurs, un pirate peut forcer une connexion TLS établie à se terminer de façon à ce que soient renvoyés les mots de passe ou cookies pour rétablir la liaison perdue.

    Les experts recommandent fortement l’abandon de RC4 au profit des algorithmes comme AES-GCM. Cependant, il existe des patchs pour les versions de TLS prenant en charge RC4. En outre, modifier le comportement du navigateur peut également être d’une grande aide pour stopper cette attaque.


    Source : ISG


    Et vous ?

    Cette attaque pourrait-elle signifier que HTTPS a été cassé ?

    Vu la popularité de TLS sur la toile, doit-on s’alarmer après les résultats de cette recherche ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    74
    Détails du profil
    Informations personnelles :
    Âge : 26
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2010
    Messages : 74
    Points : 87
    Points
    87

    Par défaut

    Citation Envoyé par Hinault Romaric Voir le message
    L’attaque en question est une attaque de multisession. Pour rappel, elle vise à déchiffrer une donnée répétée un très grand nombre de fois dans plusieurs communications TLS, comme les mots de passe, les cookies. Le nombre de sessions nécessaire pour réaliser l'attaque reste assez élevé, 2 puissance 24 selon les auteurs.
    Il faut quand même envoyer la même information 16 millions de fois... Donc mis à part dans le cas d'un malware qui force cela, l'attaque reste improbable.

  3. #3
    Membre habitué
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    73
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 73
    Points : 145
    Points
    145

    Par défaut

    tout à fait d'accord link66

  4. #4
    Membre habitué
    Inscrit en
    mars 2006
    Messages
    88
    Détails du profil
    Informations forums :
    Inscription : mars 2006
    Messages : 88
    Points : 102
    Points
    102

    Par défaut

    Dire que https est cassé est un bien grand mot. D'après moi, ça doit être assez souple pour indiquer d'utiliser de l'AES au lieu de RC4 directement dans la session. Je ne suis même pas sur qu'il faille même regénérer les certificats SSL.

    La nouvelle indique surtout que RC4 n'est plus sécurisé en tant que tel dans le protocole SSL/TLS.

    C'est comme les récentes attaques sur SHA1, pour OpenPGP/GPG, ça consiste à changer la configuration de son client OpenPGP pour utiliser du SHA-2 (SHA256, SHA512, …) à la place. Et hop, on peut renvoyer des mails/documents chiffrés/signés.

    (Bon, il y a une autre problématique d'OpenPGP liée à SHA1 et pour cela il faut changer le code. Mais en soit, faire des doublons SHA1 n'est pas aussi évident que cela et l'usurpation d'identité PGP n'est pas pour demain. Et d'ici là, les clients OpenPGP utiliseront surement SHA-2 par défaut ou intégreront SHA-3)

  5. #5
    Invité de passage
    Homme Profil pro
    Directeur de projet
    Inscrit en
    juillet 2003
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Directeur de projet

    Informations forums :
    Inscription : juillet 2003
    Messages : 3
    Points : 4
    Points
    4

    Par défaut

    Disons que TLS est de moins en moins sûr au fil des années, et que ces attaques permettent au grand public et sites ecommerce d'en prendre conscience.

  6. #6
    Membre Expert
    Avatar de Pelote2012
    Homme Profil pro Yannick Leborgne
    Développeur informatique
    Inscrit en
    mars 2008
    Messages
    812
    Détails du profil
    Informations personnelles :
    Nom : Homme Yannick Leborgne
    Âge : 33
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 812
    Points : 1 473
    Points
    1 473

    Par défaut

    bah au bout de combien d'année de bon et loyaux services ... Il faut évoluer aussi les sécurités sachant qu'il y aura toujours un esprit éclairé pour trouver une faille ...
    Bon maintenant, 16 million de fois le mêm infos ... Peut-être qu'on peut dire que notre serveur refuse de répondre au bout d'un certains nombre de fois concécutives ... ou de réinitialiser complètement la connexion
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

  7. #7
    Invité de passage
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    janvier 2013
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : janvier 2013
    Messages : 2
    Points : 2
    Points
    2

    Par défaut

    Oui, bien d'accord. le risque reste très théorique.

  8. #8
    Invité régulier
    Homme Profil pro
    Stagiaire\Lycéen
    Inscrit en
    mars 2013
    Messages
    61
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Stagiaire\Lycéen

    Informations forums :
    Inscription : mars 2013
    Messages : 61
    Points : 6
    Points
    6

    Par défaut

    "HTTPS" sa a toujours été une grosse blague, la plupart des hack se font a cause des négligences des développer, ce qui créer donc : "des failles", que tu soit en HTTPS ou en HTTP, si une faille xss (pour citer la plus connue) est exploiter via une insertion javascript, le hacker auras ton login, ton mot de passe, ta carte bancaire, ect...

    Il n'y as pas longtemps, toute les personnes se connectant sur google plus se sont prix un beau trojan. Google reste un site en plus d’être un moteur de recherche, et c'est sans doute l'un des plus sécuriser du monde, il y a eu facebook aussi qui c'est régulièrement fait hacker. Le "HTTPS" a surtout été conçue pour que l'utilisateur se sente en sécurité, pour le rassuré. Car certes les données sont plus sécuriser mais dans un site toute les pages ne sont pas en HTTPS, et hop on chope la base de donné, le mots de passe admin et merci pour les cartes de crédits. Enfin il reste les failles ftp et celles dans le même genre et le HTTPS ne peut rien y faire.

  9. #9
    Responsable Réseaux

    Avatar de ram-0000
    Homme Profil pro Raymond Mercier
    Consultant en sécurité
    Inscrit en
    mai 2007
    Messages
    11 141
    Détails du profil
    Informations personnelles :
    Nom : Homme Raymond Mercier
    Âge : 51
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mai 2007
    Messages : 11 141
    Points : 46 415
    Points
    46 415

    Par défaut

    Citation Envoyé par Progmeur Voir le message
    "HTTPS" sa a toujours été une grosse blague, la plupart des hack se font a cause des négligences des développer, ce qui créer donc : "des failles", que tu soit en HTTPS ou en HTTP, si une faille xss (pour citer la plus connue) est exploiter via une insertion javascript, le hacker auras ton login, ton mot de passe, ta carte bancaire, ect...
    assez d'accord, HTTPS ne sert pas à grand chose si le site à lui même des failles liées au développement.

    Citation Envoyé par Progmeur Voir le message
    Il n'y as pas longtemps, toute les personnes se connectant sur google plus se sont prix un beau trojan.
    Des sources ?
    Citation Envoyé par Progmeur Voir le message
    Google reste un site en plus d’être un moteur de recherche, et c'est sans doute l'un des plus sécuriser du monde
    Allons allons !! sécurisé, probable, le plus sécurisé au monde, peut être pas.

    Citation Envoyé par Progmeur Voir le message
    Le "HTTPS" a surtout été conçue pour que l'utilisateur se sente en sécurité, pour le rassuré.
    HTTPS n'a pas été concu pour des raison marketting. Il a été concu pour :
    • Authentifier le site distant
    • Chiffrer la communication
    • Eventuellement authentifier l'utilisateur

    Citation Envoyé par Progmeur Voir le message
    mais dans un site toute les pages ne sont pas en HTTPS, et hop on chope la base de donné, le mots de passe admin et merci pour les cartes de crédits.
    Un peut simpliste comme vision. Ce n'est pas parce qu'un site est en HTTP et pas en HTTPS que tu pourras forcément récupérer la base de données et le mot de passe admin.
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  10. #10
    Invité régulier
    Homme Profil pro
    Stagiaire\Lycéen
    Inscrit en
    mars 2013
    Messages
    61
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Stagiaire\Lycéen

    Informations forums :
    Inscription : mars 2013
    Messages : 61
    Points : 6
    Points
    6

    Par défaut

    Je suis pas habitué a écrire autant (oui c'est beaucoup pour moi) je me suis donc un peut perdue.
    Les source du hack google plus , c'est juste un ami qui m'en a parler, j'ai pas chercher a vérifier, pour ceux sur facebook, il y a juste a aller sur youtube.

    Et pour google, j'ai pas dis que c'était le site le plus sécuriser au monde mais un des sites les plus sécuriser au monde, en même temps c'est surement le plus visité finalement.

    Certes le HTTPS n'as pas été créer pour le marketing, mais on trouvera toujours des failles liée aux négligence des développer, alors finalement s'a sert surtout a sa.

    Un peut simpliste comme vision. Ce n'est pas parce qu'un site est en HTTP et pas en HTTPS que tu pourras forcément récupérer la base de données et le mot de passe admin.
    Je me suis mal exprimer, ce que je veut dire c'est que si il y a une faille ftp sur le site, le HTTPS ne changeras rien.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •