Une faille de sécurité dans les sites de e-commerce

La puissance de calcul réunie de 200 Playstation 3 a permis à des chercheurs de hacker les systèmes de paiement par SSL en créant de faux certificats.

Une équipe de chercheurs en sécurité informatique a mis en évidence une faille dans les sites de e-commerce. Grâce à la capacité de traitement de 200 Playstation 3, ces chercheurs américains, suisses et hollandais sont en effet parvenus à créer en trois jours de fausses versions de certificats - habituellement produits par des autorités de certification telles que VeriSign - utilisés par les navigateurs Web pour vérifier la légitimité des sites marchands et bancaires.

Cette vulnérabilité du système d'encryption des systèmes de paiment par SSL permet aux hackers d'attirer les utilisateurs sur des sites bidon pour dérober leurs données bancaires, pendant que leurs navigateurs continuent d'afficher l'icône du cadenas indiquant normalement qu'un site est sécurisé. Cette faille est connue depuis des années, mais l'équipe de chercheurs a considérablement diminué le temps nécessaire à la fabrication de ces faux certificats, démontrant une faiblesse importante du système.

Microsoft, qui édite le navigateur Internet Explorer, a demandé le 30 décembre aux autorités de certification de modifier en conséquence leurs algorithmes. Mozilla, qui édite Firefox, recommande aux utilisateurs la plus grande prudence lorsqu'ils communiquent des données sensibles. VeriSign a annoncé avoir réglé le problème pour ses certificats et prévoit de retirer son ancien algorithme d'ici fin janvier 2009.