Va-t-il falloir se méfier à l’avenir des sites sécurisés ? Le site de votre banque, votre webmail ou votre réseau social favori pourraient-ils laisser filtrer des informations confidentielles à votre insu, malgré le cadenas sur votre navigateur indiquant que votre visite est sécurisée ? Deux chercheurs en sécurité le pensent. Vendredi 23 septembre, ils présenteront le fruit de leurs recherches à la conférence sur la sécurité Ekoparty, qui débute demain à Buenos Aires.
Juliano Rizzo et Thai Duong ont en effet réussi à exploiter une faille dans SSL/TLS 1.0. Un protocole important car il est utilisé par la plupart des sites Web pour chiffrer les échanges de données avec l'internaute.
Grâce à un outil de leur cru, Beast, ils ont montré qu'il était possible de détourner une session sécurisée sur un site HTTPS et de le visiter à la place de la victime sans qu'elle le sache. La vulnérabilité utilisée par les chercheurs n’est pas nouvelle. « Elle a été présentée dès la première version de SSL […] mais était jugée inexploitable », selon leurs propos, rapportés par Threatpost. Lire la suite de l'article...
Auteur : Eric Le Bourlout, 01net.
