Le Black Hat pointe du doigt des failles dans le certificat SSL
Seul Sous L'eau
Hier, lors du fameux Black Hat, conférence bien connue sur la sécurité (ou l'insécurité) informatique organisée à Las Vegas, le protocole Secure Socket Layer (SSL), ou Transport Layer Security (TLS), a été mis à mal.
Comme annoncé il y a déjà quelques semaines, les spécialistes du Black Hat ont dévoilé jeudi de nombreuses failles dans ce fameux protocole de sécurisation sur Internet. Ils ont ainsi prouvé qu'il était possible via ces failles de dérober des mots de passe, et tout ce que cela comporte (accès au webmail, au compte bancaire en ligne, au compte sur un site d'achat, Paypal, etc.).
Pour Mark Zusman, de Intrepidus Group et Alexander Sotirov, de phmsecurity.com, à l'initiative de cette découverte, les certificats non EV (Extended Validation) ne sont pas sûrs car trop aisément utilisable, notamment pour les sites d'hameçonnage, les fameuses arnaques phishing.
Pire, les certificats dits "EV", pourtant censés être plus sécurisés, n'étant pas délivrés à n'importe qui, sont eux aussi contournables.
Pour en savoir plus, nous vous conseillons la lecture des documents suivants :
Comme annoncé il y a déjà quelques semaines, les spécialistes du Black Hat ont dévoilé jeudi de nombreuses failles dans ce fameux protocole de sécurisation sur Internet. Ils ont ainsi prouvé qu'il était possible via ces failles de dérober des mots de passe, et tout ce que cela comporte (accès au webmail, au compte bancaire en ligne, au compte sur un site d'achat, Paypal, etc.).
Pour Mark Zusman, de Intrepidus Group et Alexander Sotirov, de phmsecurity.com, à l'initiative de cette découverte, les certificats non EV (Extended Validation) ne sont pas sûrs car trop aisément utilisable, notamment pour les sites d'hameçonnage, les fameuses arnaques phishing.
Pire, les certificats dits "EV", pourtant censés être plus sécurisés, n'étant pas délivrés à n'importe qui, sont eux aussi contournables.
Pour en savoir plus, nous vous conseillons la lecture des documents suivants :
- Breaking the Myths of Extended Validation SSL Certificates.
- Attacking Extended Validation SSL.
- More Tricks For Defeating SSL In Practice.
Nil Sanyas
le 31 juillet 2009 à 11:01
(28 446
lectures)
Actualités et brèves relatives
- 30 / 07 / 2009 : Faille exploitée par SMS sur iPhone, Android et Windows Mobile
- 21 / 01 / 2009 : Extradition du pirate qui cherchait des OVNIs : une lueur d'espoir
- 09 / 05 / 2008 : Des pirates mènent une attaque contre des épileptiques
- 15 / 02 / 2008 : Les principales mesures du plan anti-cybercriminalité français
- 07 / 08 / 2007 : Pirater les courriers électroniques par WiFi, facile...
- 21 / 10 / 2006 : Microsoft a corrigé la faille de Vista découverte au Black Hat
- 09 / 08 / 2006 : Un hacker brise la protection d'un passeport biométrique
- 08 / 08 / 2006 : Vista : réactions de Microsoft au piratage du Black Hat
