Discussion :

[Djug]

Une faille du protocole SSL aurait pu être utilisée pour pirater des comptes Twitter


Une faille dans le protocole SSL a été découverte récemment qui permet à un hacker de contourner la politique de sécurité dans certains cas en injectant des données à l'encontre d'un utilisateur et en envoyant des requêtes au serveur sur lequel la victime se connecte.

Certains professionnels ont rejeté la gravité du problème pour les sites web, puisqu'elle ne peut pas être utilisée pour extraire des informations à partir des données chiffrées des sessions.

Mais Anil Kurmus, un chercheur en sécurité a publié un proof of concept montrant la possibilité de récupérer le mot de passe d’un compte Twitter en utilisant une attaque de type Man-in-the-Middle (MITM) en profitant de cette faille.

Selon Anil Kurmus, comme beaucoup de gens utilisent des applications tierces pour mettre à jour leurs comptes twitter, alors il suffit d’intercepter les demandes envoyées à l'API de Twitter qui contient toujours le nom d'utilisateur et mot de passe pour mettre la main sur le compte Twitter victime.

De son coté, Twitter a réagi rapidement, et la faille a été corrigée.

Source :
http://www.securegoose.org/2009/11/t...ility-cve.html

Qu’en pensez-vous ?
Lire aussi :

la rubrique sécurité

[ILP]

Si j'ai bien compris, c'est pas le protocol SSL qui a une faille. C'est était son utilisation par les API de Twitter.
Enfin, je crois...

[smyley]

Si j'ai bien compris, c'est via une faille dans le SSL qu'ils ont pu profiter d'une brèche sur Twitter

[ILP]

J'avoue que j'ai toujours du mal à comprendre .
S'il s'agit d'une faille dans le protocol SSL, d'autres sites que Twitter peuvent être touchés.

[smyley]

A priori oui. Peut être après que les différences résident dans l'utilisation du protocole ...