E-commerce : le chiffrement XML cassé

Des informaticiens allemands ont craqué le système de chiffrement utilisé pour échanger les données entre sites de e-commerce et les systèmes bancaires.

Après le protocole SSL, utilisé par des millions de sites, au tour du chiffrement XML, utilisé par autant de sites d'être cassé. Des chercheurs allemands viennent en effet ont d'annoncer avoir réussi à casser une partie du chiffrement XML. Pour rappel, selon la spécification officielle du W3C, ce chiffrement XML ("XML Encryption" en anglais) est notamment conçu pour permettre la transmission sécurisée d'informations et de données sensibles entre des e-commerçants et des systèmes bancaires. 

La technique ici utilisée par les chercheurs est en partie basée sur l'analyse des messages d'erreur retournés lorsqu'un texte chiffré précisément modifié est soumis à un service Web. Elle n'est cependant efficace que dans les cas au cas où le standard AES est utilisé pour le chiffrement bloc après bloc dit "CBC", ce qui fut également le cas pour Beast, l'exploit qui a pu casser le SSL. D'autres techniques utilisées pour le chiffrement XML, comme l'utilisation d'une clé RSA et de certificats X.509, ne sont pas exposées.

Les chercheurs, Juraj Somorovsky et Tibor Jager, estiment cependant que le standard n'est plus assez sécurisé et demandent à ce qu'il soit revu. Les chercheurs ont alerté les fournisseurs touchés (IBM, Microsoft ou Red Hat) via la liste de diffusion du World Wide Web Consortium (W3C). Microsoft a d'ailleurs par exemple indiqué être "conscient" de cette découverte, dit actuellement "évaluer ses produits" et les risques, et être prêt à "fournir des conseils" à ses utilisateurs.