Accueil » Actualité » Nouvelle faille dans le chiffrement SSL et TLS

Nouvelle faille dans le chiffrement SSL et TLS

Image 1 : Nouvelle faille dans le chiffrement SSL et TLSDes chercheurs ont trouvé une faille critique dans le fonctionnement des méthodes de chiffrement web TLS et SSL qui permettrait à une personne malintentionnée de prendre la place de l’utilisateur.

Comment s’infiltrer dans une communication « sûre ».

Le premier problème est que les scientifiques ont publié les résultats de leur recherche en expliquant comment s’y prendre pour exploiter ladite faille. Le second est que, selon eux, la combler reviendrait à modifier le fonctionnement du TLS et du SSL, ce qui signifie que tout correctif va prendre un temps considérable, voire ne jamais sortir.

Le maillon faible se trouve dans le processus d’authentification cryptographique. Alors que la machine cliente et le serveur valident leur communication, un temps mort dans leur relation permet à un pirate de prendre le flux de données en otage. Le pirate peut alors exécuter les transactions au nom de la victime.

Le TLS a besoin d’un remplaçant ?

Un rapport a été présenté à un consortium dédié à la sécurité sur Internet et regroupant des entreprises comme Cisco, IBM, Intel, Juniper Networks, Microsoft et Nokia. L’IETF (le détachement d’ingénierie d’Internet) et divers projets open source implémentant le SSL ont aussi élé alertés.

La dernière faille SSL en date remonte à l’été dernier (cf. « Une faille dans les certificats SSL dévoilée ») et concernait le certificat. En l’espèce, il faudra attendre de voir la réelle portée du problème et sa popularité auprès des pirates, mais il est clair que la méthode TLS commence à montrer de sérieux signes de faiblesse.