Un expert indépendant vient de faire une démonstration intéressante d'attaque sur le SSL. Attaque de type "man-in-the-middle", ou homme au milieu, elle ne peut avoir lieu que si le pirate a le moyen de modifier le contenu entre vous et le serveur, soit sur un WiFi soit sur un réseau piraté.
La faille découverte par notre expert, Moxie Marlinspike, permet de faire croire dans une connexion sécurisée d'une part au serveur que ce qui lui arrive est bien sécurisé et de l'autre côté au lien que cela ne l'est pas pour recevoir toutes les données de login ou de carte visa en clair. La conclusion de la présentation de Moxie, ainsi que de nombreux autre participants: "Le SSL ne fonctionne tout de même pas si bien que cela".
Nous voila prévenus!
La faille découverte par notre expert, Moxie Marlinspike, permet de faire croire dans une connexion sécurisée d'une part au serveur que ce qui lui arrive est bien sécurisé et de l'autre côté au lien que cela ne l'est pas pour recevoir toutes les données de login ou de carte visa en clair. La conclusion de la présentation de Moxie, ainsi que de nombreux autre participants: "Le SSL ne fonctionne tout de même pas si bien que cela".
Nous voila prévenus!
Liens
Hacker pokes third hole in secure sockets layer (263 Clics)
Plus d'actualités dans cette catégorie
Commentaires
users_user-179.html:
Une nouvelle faille malheureuse dans le SSL
Ce n'est pas une faille de SSL. C'est une pirouette autour de SSL. J'explique:
L'attaque Man-In-The-Middle ne fonctionne généralement pas parce que le pirate n'aura pas de certificat valide pour mettons paypal.com. Donc le client aura une alerte de sécurité et se méfiera.
Le principe ici, c'est que les sites sont rarement à 100% en httpS. En général, on commence par une page http en clair et le submit du login est en httpS. Après on repasse en http normal. L'attaque intercepte donc la page initiale non cryptée, y remplace les https par http et voilà, le client fera son login non crypté. Et comme quand le login flashouille en redirections https puis http, personne ne s'en rend compte. Il a utilisé ce système avec TOR et choppé plein de passwords (marrant pour des gens qui ont fait un effort de "sécurité")
Il a remis une couche sur le principe en obtenant un certificat valide pour *.ijjk.cn et en transformant les urls https://secure.paypal.com/login...
en
https://secure.paypal.com/login.....ijjk.cn/login...
Et où le slash après paypal.com est un caractère unicode qui ressemble à un slash. Le caractère est affiché comme tel au lieu du %01234 parce que le site a un certificat valide.
Moralité, dans ce cas, même un site dont la homepage est en http et tout le reste en https, l'utilisateur n'y voit que du feu.
Mais bon, ça veut dire qu'on ne doit pas attendre un correctif SSL.
L'attaque Man-In-The-Middle ne fonctionne généralement pas parce que le pirate n'aura pas de certificat valide pour mettons paypal.com. Donc le client aura une alerte de sécurité et se méfiera.
Le principe ici, c'est que les sites sont rarement à 100% en httpS. En général, on commence par une page http en clair et le submit du login est en httpS. Après on repasse en http normal. L'attaque intercepte donc la page initiale non cryptée, y remplace les https par http et voilà, le client fera son login non crypté. Et comme quand le login flashouille en redirections https puis http, personne ne s'en rend compte. Il a utilisé ce système avec TOR et choppé plein de passwords (marrant pour des gens qui ont fait un effort de "sécurité")
Il a remis une couche sur le principe en obtenant un certificat valide pour *.ijjk.cn et en transformant les urls https://secure.paypal.com/login...
en
https://secure.paypal.com/login.....ijjk.cn/login...
Et où le slash après paypal.com est un caractère unicode qui ressemble à un slash. Le caractère est affiché comme tel au lieu du %01234 parce que le site a un certificat valide.
Moralité, dans ce cas, même un site dont la homepage est en http et tout le reste en https, l'utilisateur n'y voit que du feu.
Mais bon, ça veut dire qu'on ne doit pas attendre un correctif SSL.
zion:
Une nouvelle faille malheureuse dans le SSL
Merci pour les explications