the empty set

Transactions SSL en péril

Des chercheurs de l'EPFL ont découvert une faille du protocole SSL utilisé par de nombreux sites sécurisés (banques, achat en ligne, etc.)

Ils ont montré qu'il est possible de reconnaître en moins d'une heure le mot de passe utilisé par un internaute pour se connecter à un service de vente commercial ou à son compte en banque en ligne. Oops. La nouvelle version d'OpenSSL (0.9.7a) corrige le problème.

En attendant, vérifiez vous-même le mode de sécurité (CBC mode) de votre connexion au moment où apparaît un cadenas fermé et/ou une adresse commençant par https:// :

Dans le menu "Fichier" de votre navigateur, ouvrez le champ des propriétés. Votre navigateur indique le type de connexion sécurisée qu'il a choisi. La mention SSL est suivie d'un modèle nommé RC4 ou DES. Par exemple: SSL 3.0, RC4 avec cryptage 128 bits. Si l'indication est RC4, continuez en toute sécurité; si c'est DES, abandonnez!

Cela dit, il est inutile de paniquer. Le protocole en soit n'est pas remis en cause, mais bien son implémentation. De part la manière dont sont traitée les conditions d'erreurs, une personne mal intentionnée peut découvrir quelle condition a généré l'erreur en mesurant la réponse.

Vous pouvez continuer à utiliser votre carte de crédit pour vos achats. La faiblesse du système réside dans la périodicité et la répétition des transactions (relève du e-mail toutes les 5 minutes par un canal sécurisé TLS par exemple), car les mêmes créances d'authentification sont constamment envoyées et finissent par être extraite. Quelque soit le client e-mail utilisé d'ailleurs.

Pour en savoir plus..

Ø permalink: https://davidroessli.com/logs/2003/02/transactions_ssl_en_pril/

Post a comment

(If you haven't left a comment here before, you may need to be approved by the site owner before your comment will appear. Until then, it won't appear on the entry. Thanks for waiting.)



Previous: Perversion Tracker

Next: Samedi matin


About

Hello, my name is David Roessli. I am a freelance web designer and developer based in Geneva, Switzerland.

This weblog is an nth attempt to solve my multiple online personalities and weblog/rss feeds burnout issues. (more)

Words

I have been contemplating the idea of upgrading my desktop Mac since this spring. The latest 27" iMac (Quad-Core) seemed the perfect candidate, but the release of Apple's 27" Monitor last September made me stick with the Mac Pro...

Music

The autopsy of an iconic album cover picked up on Kottke.org. A stacked graph of successive radio signals from pulsar CP 1919, in a 1977 astronomy encyclopedia that originated in a 1970 Ph.D. thesis. Fascinating <3...

Pictures

Check out my latest Flickr ramblings. Mostly day to day cameraphone pictures stolen here and there.


© 2000-2018 David Roessli | v4.1 | as valid xhtml and css as possible | hosted by Infomaniak | RSS feeds. Looking for my Privacy Policy ?