Karthikeyan Bhargavan et Gaetan Leurent ont conçu et mené une attaque – dans un laboratoire de recherche cryptographique – qui peut pirater le trafic de plus de 600 des sites les plus populaires du Web et mettre à nu votre connexion auparavant sécurisée information.
Vidéos recommandées
L’exploit, surnommé «Doux32», n’est cependant pas facile à réaliser. Cela implique d’extraire des centaines de gigaoctets de données et de cibler des utilisateurs spécifiques qui ont accédé à un site Web malveillant qui les a chargés d’un peu de malware. Néanmoins, la difficulté de mener à bien l’attaque est contrebalancée par la manière dont elle détruit certains des systèmes de cryptage les plus courants d’Internet.
Bien que l’attaque soit très difficile à mener en pratique, l’existence de l’exploit a attiré l’attention des experts en sécurité de l’équipe de développement d’OpenSSL.
En exploitant le trafic chiffré HTTPS ou OpenVPN, les chercheurs ont pu utiliser un paradoxe mathématique pour identifier des parties d’informations cryptées et déchiffrer les identifiants de connexion et de mot de passe dans leur intégralité.
Ne paniquez pas pour l’instant, des experts en sécurité discutent avec Ars Technica sont convaincus que la menace posée par l’exploit est minime, en partie à cause du fait qu’il existe une solution relativement simple.
La vulnérabilité clé exploitée dans le système de décryptage des cookies secrets ne se trouve que dans les chiffrements par blocs de 64 bits, que les développeurs d'OpenVPN ont déjà résolus dans la version la plus récente de leur VPN logiciel. D'autres experts en sécurité parlant avec Ars ont confirmé que l'exploit ne représente que peu de menace tant que les développeurs s'y mettent et cessent d'utiliser des chiffrements par blocs de 64 bits comme Triple DES, ou « 3DES ».
« La question du 3DES n’a que peu de conséquences pratiques pour le moment. C'est juste une question de bonne hygiène que de commencer à dire au revoir à 3DES », a déclaré Viktor Dukhovni, membre de l'équipe OpenSSL.
Recommandations des rédacteurs
- Un nouveau bug de WordPress aurait rendu 2 millions de sites vulnérables
- Mettez à jour votre navigateur Google Chrome maintenant: un nouvel exploit pourrait vous exposer aux piratages
- L'exploit Zero Day d'Internet Explorer rend les fichiers vulnérables aux piratages sur les PC Windows
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
