Comment réagir aux failles SSL ?
Sécuriser ses pages Web https après Beast
Entre la découverte de la faille et la première démonstration de son exploitation, neuf ans se sont donc écoulés. Cela a donc demandé beaucoup de temps. "L'exploit n'est pas simple, et nécessite des moyens avancés dont l'écoute du réseau. La probabilité de le voir réaliser à grande échelle reste donc faible aujourd'hui", juge Gérôme Billois..
Les RSSI, les webmasters et les clients de sites de e-commerce doivent-ils s'inquiéter ? Non, répond Ivan Ristic, spécialiste des protocoles SSL et TLS, et directeur de l'ingénierie de Qualys : "Mener à bien l'attaque Beast demande non seulement des compétences importantes, mais aussi un ensemble de circonstances difficiles à réunir. Il existe en fait de nombreuses autres attaques beaucoup plus faciles à réaliser."
Comment se protéger
Cependant, il faut réagir à cette nouvelle possibilité d'attaque. Comment les RSSI peuvent-ils s'en protéger ? Si déployer massivement TLS 1.2 et 1.3 à court terme semble utopique (voire page suivante), un premier moyen simple de se protéger est de privilégier au niveau serveur la méthode de chiffrement RC4 plutôt qu'AES qui utilise le mode CBC vulnérable. "C'est d'ailleurs ce que fait Google pour ses sites https", rappelle Gérôme Billois, qui juge cette mesure "simple et efficace mais dont l'impact technique doit être évalué par les entreprises."
Même si l'image de cet algorithme RC4, pensé pour le Wep, a pu être ternie, c'est à ce jour la seule solution massivement et rapidement déployable qui émerge. Il suffit de changer les paramètres du serveur Web pour les faire basculer vers RC4, qui est bien supporté.
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l'envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, par CCM Benchmark Group à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu’avec nos partenaires commerciaux.
Le traitement de votre email à des fins de publicité et de contenus personnalisés est réalisé lors de votre inscription sur ce formulaire. Toutefois, vous pouvez vous y opposer à tout moment
Plus généralement, vous bénéficiez d'un droit d'accès et de rectification de vos données personnelles, ainsi que celui d'en demander l'effacement dans les limites prévues par la loi. Vous pouvez également à tout moment revoir vos options en matière de prospection commerciale et ciblage. En savoir plus sur notre politique de confidentialité ou notre politique Cookies.
