Transactions SSL en péril
Posted in daily
Tags :Des chercheurs de l'EPFL ont découvert une faille du protocole SSL utilisé par de nombreux sites sécurisés (banques, achat en ligne, etc.)
Ils ont montré qu'il est possible de reconnaître en moins d'une heure le mot de passe utilisé par un internaute pour se connecter à un service de vente commercial ou à son compte en banque en ligne. Oops. La nouvelle version d'OpenSSL (0.9.7a) corrige le problème.
En attendant, vérifiez vous-même le mode de sécurité (CBC mode) de votre connexion au moment où apparaît un cadenas fermé et/ou une adresse commençant par https:// :
Dans le menu "Fichier" de votre navigateur, ouvrez le champ des propriétés. Votre navigateur indique le type de connexion sécurisée qu'il a choisi. La mention SSL est suivie d'un modèle nommé RC4 ou DES. Par exemple: SSL 3.0, RC4 avec cryptage 128 bits. Si l'indication est RC4, continuez en toute sécurité; si c'est DES, abandonnez!
Cela dit, il est inutile de paniquer. Le protocole en soit n'est pas remis en cause, mais bien son implémentation. De part la manière dont sont traitée les conditions d'erreurs, une personne mal intentionnée peut découvrir quelle condition a généré l'erreur en mesurant la réponse.
Vous pouvez continuer à utiliser votre carte de crédit pour vos achats. La faiblesse du système réside dans la périodicité et la répétition des transactions (relève du e-mail toutes les 5 minutes par un canal sécurisé TLS par exemple), car les mêmes créances d'authentification sont constamment envoyées et finissent par être extraite. Quelque soit le client e-mail utilisé d'ailleurs.
Pour en savoir plus..