Fredzone
  • News
    • High-Tech
      • Accessoires
      • APN / Camescopes
      • Drones
      • Imprimantes 3D
      • Intelligence Artificielle
      • Ordinateurs
      • Périphériques
      • Réseau / ADSL
      • RV / RA
      • Science
      • Transport
      • TV / Hifi
    • Jeux-Vidéo
      • Consoles
      • Jeux
      • Jeux en ligne
      • MMORPG
    • Logiciels
      • Windows
      • Mac OS
      • Linux
      • Autres
    • Loisirs
      • Animes
      • Cinéma
      • Humour
      • Inclassables
      • Livres & BD
      • Musique
      • Photographie
      • Séries
    • Mobilité
      • Baladeurs
      • GPS
      • Liseuses
      • Objets Connectés
      • Opérateurs / MVNO
      • OS / Applications / Jeux
      • Smartphones
      • Tablettes Tactiles
    • Web
      • Blogosphère
      • Business
      • Design
      • Hacking
      • Piratage
      • Réseaux Sociaux
      • Services
  • Tests
    • Accessoires & Périphériques
    • APN
    • Consoles
    • Objets Connectés
    • Ordinateurs & Machines Hybrides
    • Smartphones
    • Tablettes Tactiles
  • Tutoriels
  • Bons Plans
 Attention, votre serveur HTTPS n’est peut-être pas aussi sécurisé que vous le pensez
Une nouvelle faille touche de nombreux serveurs HTTPS.
Services

Attention, votre serveur HTTPS n’est peut-être pas aussi sécurisé que vous le pensez

by Frédéric Pereira 4 mars 2016

Drown fait couler beaucoup d’encre depuis le début de la semaine et cela n’a rien de surprenant car cette nouvelle faille touche environ un tiers des serveurs HTTPS du web. Le pire reste à venir car il s’agit d’une vulnérabilité critique. En s’appuyant dessus, des personnes mal intentionnées seraient effectivement en mesure de déchiffrer les communications passées entre le client et le serveur.

La faille a été découverte par une équipe composée de plusieurs chercheurs en sécurités basés aux Etats-Unis, en Allemagne et en Israël. Elle ne touche pas tous les serveurs et elle est ainsi liée au protocole SSLv2.

DROWN
Une nouvelle faille touche de nombreux serveurs HTTPS.

Le SSLv2 n’est pas de toute première jeunesse. Il a été lancé en 1995 et il a été officiellement abandonné en… mars 2011 pour être remplacé par une nouvelle version plus complète et, surtout, plus sécurisée.

Un tiers des serveurs HTTPS seraient vulnérables

Toutefois, de nombreux serveurs le prennent encore en charge, par souci de rétro-compatibilité. Ce n’était pas un problème en soi, du moins pas avant aujourd’hui.

A présent, le TLS est effectivement très répandu et la plupart des navigateurs s’appuient dessus pour établir des connexions sécurisées. Toutefois, en observant et en analysant toutes les requêtes passées entre le client et le serveur visé, un attaquant peut bombarder le serveur de requêtes SSLv2 et exploiter ses failles pour intercepter les données échangées.

Grâce à cette technique, il sera donc en mesure de récupérer des clés de chiffrements et des informations chiffrées au nez et à la barbe de l’internaute.

Alors bien sûr, pour réussir une telle attaque, il vaut mieux disposer de solides connaissances techniques. La technique employée n’est clairement pas à la portée du premier venu. Toutefois, elle reste très accessible. Durant leurs tests, les chercheurs ont attaqué une de leurs infrastructures basées sur Amazon EC2 et ils n’ont eu besoin que de huit heures pour mettre la main sur les échanges passés entre le serveur et le client.

Une technique qui n’est pas à la portée de tout le monde

Ils estiment en outre que le processus peut être simplifié en combinant cette technique à une autre faille touchant OpenSSL, une faille qui a cependant été patchée en 2015.

Mais ce n’est pas le pire car même les serveurs n’intégrant pas SSLv2 peuvent être touchés, par effet de domino. Il suffit pour se faire de récupérer son certificat et de l’installer sur un autre serveur supportant SSLv2.

Cette technique a été détaillée sur le blog de Stephane Bortzmeyer.

Fort heureusement, il est parfaitement possible de limiter les dégâts en prenant des mesures côté serveur. La solution la plus simple consiste à désactiver le SSLv2 sur la machine.

Tags: sécurité web
Avatar

Frédéric Pereira

Floodeur compulsif, Frédéric Pereira est très actif sur Twitter ou encore sur Facebook.

0 0 votes
Évaluation de l'article
S’abonner
Connexion
Notification pour
guest

guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires

Bons Plans

  • XXiaomi Mi Surface

    Bons Plans

    18 % de réduction à ne pas rater pour ce moniteur gaming incurvé ...

  • Vélo-électrique-HIMO-C30S

    Bons Plans

    Bon plan avec de supers produits à prix incroyables sur geekbuying !

  • Promotion Xiaomi

    Bons Plans

    Profitez de ces produits Xiaomi à des prix imbattables !

  • Smartphone Redmi

    Bons Plans

    C’est l’occasion de vous procurer des Smartphones Redmi à des prix réduits ...

  • Brosse électrique

    Bons Plans

    Ne ratez pas ces belles réductions sur la brosse à dents électrique ...

  • Récent

  • Populaire

  • Commentaires

  • Loki, ce personnage va peut-être réaliser son rêve dans la ...

    Domoina Alexia
    18
    0
  • Honor Tab X8, une nouvelle tablette en préparation chez la ...

    Marc Odilon
    23
    0
  • Blue-Lock

    On a de très grosses annonces sur l’anime Blue Lock

    Nasser S.
    29
    0
  • OnePlus recrute des volontaires pour tester OxygenOS 13 sur ses ...

    Marc Odilon
    33
    0
  • Sécurité Facebook

    Le piratage de comptes Facebook est très courant, mais voici ...

    Confort H.
    730
    0
  • Toutes les explications sur la fin de Lost

    Frédéric Pereira
    3493
    1 031
  • PSN : retour progressif du PlayStation Network

    Frédéric Pereira
    5346
    852
  • Cracker Nintendo DS

    Comment cracker sa Nintendo DS…

    Frédéric Pereira
    7150
    776
  • Invitations Spotify

    250 invitations pour Spotify…

    Frédéric Pereira
    6553
    652
  • Comment cracker la Wii (4.2, 4.3 avec et sans jeux)

    Cracker la Wii : 4.2, 4.3 avec et sans jeux

    Frédéric Pereira
    8334
    582
  • Habib ADECHOKAN
    Habib ADECHOKAN
    on août 13, 2022
    Samsung estime que dans 3 ans les pliables prendront la ...
    En effet, à moins de sortir un appareil ultra révolutionnaire, ça va vraiment être limite. Et avec des prix astronomiques, ...
  • Avatar
    Patrick Graham
    on août 13, 2022
    Nintendo dispose enfin de son propre studio d’animation
    Looking for a way to play your favorite Nintendo DS games on your PC or Mac? Look no further than ...
  • Avatar
    jeff
    on août 13, 2022
    Samsung estime que dans 3 ans les pliables prendront la ...
    C'est bien de prendre ses rêves pour des réalités, depuis un moment Samsung et les autres constructeurs de smartphones espèrent ...
  • Avatar
    KY
    on août 12, 2022
    Comment transformer Gmail en gestionnaire de tâches
    Je suis très ravi de votre service. Mais je demande votre soutien
  • Avatar
    Amandyte
    on août 12, 2022
    Les 23 films ajoutés sur Amazon Prime Vidéo dès le ...
    Encore pas ouff pour le prix demander
  • Annonceurs
  • Devenez rédacteur
  • Politique de confidentialité
  • Mentions Légales
  • Préférences cookies
  • Contact
© Copyright FZN 2022. Tout droit réservé.
wpDiscuz