Récemment, deux chercheurs annonçaient leur capacité à exploiter une faille au sein du protocole HTTPS. « Si leur méthode est nouvelle, la faille, elle, ne l’est pas », explique Stéphane Bortzmeyer, ingénieur R&D à l’Afnic, sur son blog. En effet, connue depuis près de sept ans, la vulnérabilité a été corrigée par la version 1.1 du protocole disponible depuis 2006. Pourtant, en cinq ans, aucune mise à jour ni des navigateurs, ni des serveurs web n'a été faite, chacun se renvoyant en permanence la balle quant à l’initiative. « A l’époque l’information n’avait pas fait beaucoup de bruit, ajoute Stéphane Bortzmeyer. Aujourd’hui, avec la démonstration effective de l'attaque, il y a une prise de conscience de la communauté. »
Comment fonctionne cette attaque ?
Rappelons que l'attaque se place entre le navigateur et le site de destination. « La première chose que fait l'agresseur est de mettre en place un dispositif d’écoute du trafic réseau. Ce qui est assez trivial », explique Stéphane Bortzmeyer. Ensuite, il doit réussir à injecter un texte dans le navigateur du poste victime dans le cadre de la session HTTPS qu'il veut pirater. Lire la suite de l'article...
Auteur : Stéphane Bellec, 01net.
A lire également : A la une de 01 : Sécurité : comment bloquer les cyberattaques.
