Services
Utilisateurs de Twitter, Facebook, PayPal, Gmail, Amazon, etc. cette nouvelle est pour vous!
Si vous vous servez régulièrement de ces sites ou effectuez des paiements en ligne, vous savez qu'ils reposent sur le SSL, cette technologie de chiffrement qui protège vos échanges entre les sites et vous sur le Web. Le SSL se matérialise par la fameuse icône du petit cadenas.
Mais voilà que deux chercheurs sont parvenus à casser le code! Il s'agit de Thai Duong et Juliano Rizzo qui vont montrer cette semaine pendant la conférence de sécurité Ekoparty comment ils arrivent à se jouer de la sécurité SSL de PayPal avec du code bien ficelé pour pouvoir intercepter les informations à leur guise.
«BEAST est différent que la plupart des attaques contre les HTTPS. Alors que d'autres attaques se concentrent sur la propriété d'authenticité du SSL, BEAST s'attaque à la confidentialité du protocole», écrit Thai Duong dans un courriel. Ainsi, il ne faut que quelques minutes à BEAST pour craquer des cookies SSL.
Si la vulnérabilité est confirmée, cela pose bien évidemment un grave problème de sécurité puisque le monde entier utilise cette technologie pour sécuriser les échanges. En 2009, plusieurs failles avaient déjà été découvertes lors d'une conférence Black Hat.
(Source: Register, Inquirer, CBC)
par Nicolas Laffont
Rappelons que le Web, soit le protocole HTTP n'a jamais été conçu pour des informations sensible et le commerce en ligne, le SSL est en quelques sorte une PATCH de sécurité ajouté pour aider a remédier à ce problème, mais comme toutes chose qui s'encode et ce décode, il a moyen de le contourner.
Ile ne faut pas s'étonner que le SSL n'est pas sécuritaire à 100%, mais qu'est-ce qui est sécuritaire à 100% de nos jours ? Pas grande chose, voire rien, alors il ne faut pas s'allarmer mais bien faire attention ou vont nos doigts sur le Web.
"alors il ne faut pas s'allarmer mais bien faire attention ou vont nos doigts sur le Web."
Peut importe ou on vas ils (les chercheurs et future cracker) peuvent sniffer et intercepter tes infos, même si tu vas sur des sites sécurisé avec SSL.
avec la qualité des hackers et crakers, dur de dire a quel point on est safe ou pas sur l'échange d'info monetaire pour payer ces facture..
si on fais affaire avec les meme compagnie sans avoir eu de trouble, au risque de se faire entaché leur nom et anéatir la confiance de ses client, je pense qu'il verifie de facon constante leur ssl et le cadenas qui va avec pour s'assurer de ne pas subir le meme sort que sony a subit.
