24/09/2011

Assistons-nous à la fin du HTTPS ?

Définitivement non.

Mais après le piratage des autorités de certification (Diginotar, Comodo), des chercheurs ont démontré une attaque permettant de déchiffrer les flux HTTPS (SSLv3 et TLSv1.0).

Cette attaque, présentée lors de la conférence Ekoparty, demande cependant des conditions particulières pour être réalisée (attaque man-in-the-middle ou un site web malicieux) et repose sur une faille d'un des sous-protocoles de HTTPS : le CBC.

Le CBC (ou cipher block chaining) est en fait intrinsèquement vulnérable, les chercheurs l'ont exploité. C'est d'ailleurs pourquoi de nombreux sites (dont Google), n'utilisaient pas le CBC mais son concurrent, le RC4.

L'attaque repose sur une attaque cryptographique de padding Oracle (rien à voir avec la base de données).

1 commentaire:

  1. Le CBCB n'est pas un sous-protocole de https, c'est uniquement un moyen de chainer des algorithmes de chiffrement par bloc (ici AES). C'est donc également faux de dire que RC4 est un concurrent de CBC puisque RC4 est un algorithme de chiffrement, il est donc plutot le concurrent de l'AES. Vu que c'est un algorithme de chiffrement par flux, il n'a pas besoin de méthode pour chainer les blocks , donc pas besoin de CBC...

    RépondreSupprimer