Chiffrement : une faille de 1998 toujours d'actualité

Le par  |  7 commentaire(s)
ROBOT

Paypal et Facebook ont corrigé une faille datant de 1998 dans les protocoles d'échanges de clés SSL/TLS basés sur l'algorithme de chiffrement RSA.

Les chercheurs en sécurité Hanno Böck, Juraj Somorovsky et Craig Young ont annoncé avoir mis en lumière une faille dans les protocoles de cryptographie utilisés actuellement par un grand nombre de sites. Cette faille aurait été en place depuis 1998 et toujours d'actualité.

ROBOT

La faille en question avait initialement été découverte par Daniel Bleichenbacher, il s'agissait d'un bug dans un protocole d'échanges de clés SSL/TLS basé sur l'algorithme de chiffrement asymétrique RSA. Concrètement, cette faille permettait à un cybercriminel de retrouver la clé de sessions d'un échange TLS/SSL et de la déchiffrer.

Suite à cette découverte, la faille avait été colmatée... Du moins, c'est ce que l'on pensait puis qu'il apparait désormais que tous les correctifs n'ont pas été correctement installés. En changeant légèrement les modalités de l'attaque décrite par Bleichenbacher, les trois chercheurs ont abouti à un résultat identique, soit récupérer la clé de session de l'échange. L'attaque a été baptisée ROBOT (Return Of Bleichenbacher's Oracle Attack).

Robot check

Le fait d'avoir à peine modifié les modalités de l'attaque laisse entendre que d'autres avant eux ont pu exploiter la faille, d'autant que celle-ci est connue depuis presque 20 ans. Après quelques tests auprès de serveurs Web, les chercheurs ont annoncé avoir trouvé 27 sites vulnérables parmi les 100 plus gros sites sur Internet... Paypal et Facebook en faisaient partie, mais les deux sites ont colmaté la brèche depuis.

Un test disponible ici permet de savoir si votre site est vulnérable.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1992292
"que d'autres avant eux ont pu exploiter la faille" ... Devinez qui !? Ca commence par "N"
Le #1992296
Ulysse2K a écrit :

"que d'autres avant eux ont pu exploiter la faille" ... Devinez qui !? Ca commence par "N"


N? Non vraiment je ne vois pas.
Anonyme
Le #1992305
Ou comment transformer une news d'il y a 2 jours en un article sur Facebook...
Le #1992310
Ulysse2K a écrit :

"que d'autres avant eux ont pu exploiter la faille" ... Devinez qui !? Ca commence par "N"


Ca rime aussi avec RSA ?
Le #1992395
skynet a écrit :

Ulysse2K a écrit :

"que d'autres avant eux ont pu exploiter la faille" ... Devinez qui !? Ca commence par "N"


Ca rime aussi avec RSA ?


Quel talent !
Le #1992416
Ulysse2K a écrit :

skynet a écrit :

Ulysse2K a écrit :

"que d'autres avant eux ont pu exploiter la faille" ... Devinez qui !? Ca commence par "N"


Ca rime aussi avec RSA ?


Quel talent !


J'y ai longtemps réfléchi avant de le dire


Le #1992727
Rime juste !
Je me demandais comment la NSA avait fait pour trouver une faille la dedans alors que c'est une question complexe de mathematiques entieres. C'était peut etre parceque quelqu'un l'avait déja trouvée pour eux ...
Suivre les commentaires
Poster un commentaire
Anonyme