Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Failles dans le protocole de sécurité SSL


Edition du 31/07/2009 - par Vivien Derest avec IDG news service

A la conférence 'Black Hat', des chercheurs considèrent que des failles dans le protocole de sécurité SSL pourraient être utilisées pour créer des attaques de type 'man-in-the middle' (MITM) indétectables.

Des chercheurs en sécurité ont trouvé de sérieuses failles dans des logiciels utilisant le protocole de cryptage SSL (Secure Sockets Layer), qui sert à la sécurisation des communications sur Internet. Lors de la conférence 'Black Hat' de Las Vegas, le jeudi 30 juillet, des chercheurs ont révélé plusieurs attaques qui pourraient être utilisées pour compromettre un trafic sécurisé d'informations entre les sites Web et les navigateurs.

Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de pirater un session bancaire en ligne, voire même d'installer une mise à jour pour Firefox contenant du code malveillant, selon les chercheurs. Le problème vient de la façon dont beaucoup de navigateurs ont implémenté SSL, ainsi que de l'infrastructure système de la clé publique X.509 qui est utilisée pour gérer les certificats numériques utilisés par SSL pour déterminer si un site est digne de confiance ou non.

Un chercheur en sécurité qui se fait appeler 'Moxie Marlinspike' a montré une méthode pour intercepter du trafic SSL en utilisant ce qu'il appelle un certificat 'null-termination'. Pour que cette attaque fonctionne, Marlinspike doit déjà réussir à installer son logiciel sur le réseau local. Une fois que c'est fait, il détecte le trafic SSL et présente son certificat 'null-termination ' pour intercepter les communications entre le client et le serveur. Une attaque du type man-in-the-middle indétectable, selon lui.

L'attaque expliquée par Marlinspike est extrêmement proche d'un autre type d'attaque assez commune, l'injection SQL, qui envoie des données spécifiquement conçues au programme en espérant le pousser à faire quelque chose qu'il ne devrait pas. Il a découvert que s'il créait des certificats pour son propre domaine internet qui incluait des caractères 'nuls' (souvent représentés par \0), certains programmes interprèteraient mal le certificat.

Page suivante (2/3) >


Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Dell cesse de vendre des PC sous Linux sur son site internet

Dell avait déclaré que les systèmes Linux sont plus sûrs que ceux qui fonctionnent (...)

1,2 million d'ordinateurs infectés via le « Eleonore Exploits Toolkit »

AVG Technologies, concepteur d'antivirus, annonce que son équipe de recherche de (...)

Dix menaces de piratage sur les réseaux sociaux

Les réseaux sociaux décollent en flèche et qui dit grande progression dit grandes (...)

La vulnérabilité du .link de Windows devrait être de plus en plus exploitée

Un ver prenant pour cible Windows qui a récemment été découvert inspire les auteurs (...)

Le marché du NAC dominé par deux acteurs selon Gartner

Le cabinet Gartner a réalisé une synthèse sur les solutions NAC. Il classe 18 fournisseurs (...)

NAP de Microsoft au banc d'essai, un NAC dédié à Windows

Le contrôle d'accès au réseau (NAC ou Network Access Control) est une technologie (...)

La Mairie de Paris met à jour la gestion des accès distants pour 1500 agents

La Mairie de Paris donne accès à distance à son système d'information à 1500 agents. (...)
Recherche
Sondage flash


Conférences
21/09/2010
DECISIONNEL
De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du lundi 23 août 2010 au vendredi 27 août 2010
Copenhague : DrupalCon Europe
Bella Center, Copenhague, Danemark
en savoir plus
agendatout
l'agenda