IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

THC-SSL-DOS : un outil qui exploite une faille SSL pour les attaques par Déni de Service


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 333
    Points
    252 333
    Billets dans le blog
    118
    Par défaut THC-SSL-DOS : un outil qui exploite une faille SSL pour les attaques par Déni de Service
    THC-SSL-DOS : un outil qui exploite une faille SSL pour les attaques par Déni de Service
    développé par des hackers allemands


    Des hackers allemands viennent de publier un outil pouvant être utilisé pour effectuer des attaques par Déni de Services sur un serveur utilisant le protocole SSL pour les connexions sécurisées.

    L’outil baptisé THC-SSL-DOS exploite une faiblesse dans le protocole de sécurité SSL qui avait été découverte depuis 2003.

    La faille se situe au niveau de la renégociation SSL qui est activée sur de nombreux serveurs. L’outil exploite le fait qu’une négociation de session SSL demande quinze fois plus de puissance au serveur qu’au client. Cette différence est encore plus importante lors du traitement des renégociations SSL.

    Le groupe de Hackers THC (The Hacker's Choice) a utilisé cette asymétrie ainsi que la capacité à renégocier une session SSL. THC-SSL-DOS génère donc de milliers de renégociations pour surcharger le serveur via une simple connexion internet.

    Depuis un seul ordinateur portable, un pirate peut effectuer une attaque par DOS et faire tomber un serveur Web en utilisant une connexion ADSL.

    THC a décidé de rendre l’outil disponible publiquement à cause d’une fuite en ligne de THC-SSL-DOS, afin de pousser l’industrie à se pencher sur les problèmes du protocole SSL.

    L’unique façon de limiter les risques est de désactiver la renégociation SSL. THC souligne cependant que THC-SSL-DOS peut être facilement modifié afin de privilégier l'utilisation d'initialisation SSL, mais il faudra cependant utiliser plus qu’un ordinateur portable pour effectuer une attaque.

    Télécharger THC-SSL-DOS


    Source : THC


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 551
    Points
    3 551
    Par défaut
    THC a décidé de rendre l’outil disponible publiquement à cause d’une fuite en ligne de THC-SSL-DOS
    Autrement dit, notre outil a déjà fuité donc on fait genre on le diffuse ?
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2010
    Messages
    50
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2010
    Messages : 50
    Points : 41
    Points
    41
    Par défaut
    C'est très bien qu'il soit en ligne. Pour deux raisons. L'une est que notre société ne sait réagir que face au fait, et que tant qu'un malheur n'est pas arrivé, aucune mesure n'est prise. La deuxième, est que justement, une fois les mesures prises, il est intéressant de les tester. Or cet outil permet justement cela, comme tous les outils d'exploits disponibles.

Discussions similaires

  1. Détecter une attaque par déni de service
    Par BenjaminN dans le forum Apache
    Réponses: 1
    Dernier message: 07/07/2011, 13h14
  2. Exploiter une feuille excel pour un intranet
    Par bastouneco dans le forum PHP & Base de données
    Réponses: 5
    Dernier message: 15/12/2009, 17h43
  3. Réponses: 2
    Dernier message: 25/06/2008, 15h58
  4. Réponses: 1
    Dernier message: 23/08/2005, 15h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo