TLS 1.0 dans les choux ?

Via TheRegister :

Voici une nouvelle pour le moins inquiétante : deux chercheurs sécu, Thai Duong et Juliano Rizzo, ont trouvé une méthode permettant de déchiffrer des communications chiffrées sur le web à l’aide du protocole TSL (SSL) dans sa version 1.0.

Leur découverte ainsi qu’un PoC baptisé BEAST (Browser Exploit Against SSL/TLS) sera présentée à la prochaine conf Ekoparty (du nom de l’ex-ezine argentin Eko) à Buenos Aires.

L’attaque cryptographique utilisée est à texte-clair connu et semble se baser sur l’injection d’un javascript sur le site visé pour vraisemblablement générer le traffic connu. L’objectif de BEAST est de parvenir à déchiffrer les cookies utilisés dans les transactions sécurisés.

Cette découverte est importante car à l’heure actuelle le protocole TLS 1.0 est le plus utilisé. Certains navigateurs comme Chrome / Firefox ne proposent pas les versions 1.1 et 1.2 et (d’après mes tests) ils sont désactivés (bien qu’implémentés) par défaut dans Opera…
Sans compter qu’il faut que ces versions soient aussi présentes du côté des serveurs…

5 réflexions au sujet de « TLS 1.0 dans les choux ? »

Les commentaires sont fermés.