Comment réagir aux failles SSL ? Le chiffrement SSL/TLS 1.0 cassé par l'exploit "Beast"

Comme annoncé, Thai Duong et Juliano Rizzo ont démontré qu'ils pouvaient déchiffrer les cookies cryptés servant à s'identifier sur la majorité des pages protégées par "https". Baptisé Beast, l'exploit leur a permis de subtiliser en quelques minutes les identifiants d'un compte Paypal.

Si Paypal est déjà une cible spectaculaire, ce sont en fait toutes les pages Web sécurisées via les protocoles SSL 3.0 et TLS 1.0 qui peuvent être concernées. Soit l'écrasante majorité des sites sécurisés.

le chiffrement ssl qui sécurise des millions de sites web vient d'être cassé... — Le chiffrement SSL qui sécurise des millions de sites Web vient d'être cassé... © Fotolia

"Les sites Web ne sont pas les seuls concernés, car l'exploit peut être utilisé sur les tunnels VPN HTTPS, et alors viser les travailleurs nomades ", ajoute Gérôme Billois, manager Sécurité chez Solucom.

Une faille connue dès 2001

En fait l'exploit se base sur une faille du chiffrement connue dès 2001. La vulnérabilité vient plus précisément de la méthode de chiffrement, bloc après bloc, dite "CBC", mais elle restait théorique et était jugée inexploitable. Elle ne l'est désormais plus. Pour l'exploiter, un javascript sur un site piégé, qui peut être différent du site visé, et un analyseur de réseau, un "sniffer", sont nécessaires. Une vidéo montre l'attaque.

Comment réagir aux failles SSL ? Le chiffrement SSL/TLS 1.0 cassé par l'exploit "Beast"

Une faille connue dès 2001

Guides

Repères