Libertés Numériques
Follow
Find tag "SSL"
54.5K views | +2 today
Libertés Numériques
Veille sur la sécurité et les libertés individuelles à l'heure d'Internet.
Your new post is loading...
Your new post is loading...
Scooped by Aurélien BADET
Scoop.it!

FREAK : une faille majeure née de la lutte des US contre le chiffrement

FREAK : une faille majeure née de la lutte des US contre le chiffrement | Libertés Numériques | Scoop.it
Les Etats-Unis ne voulaient pas d’un chiffrement fort, et la faille FREAK affectant le TLS/SSL est un héritage de cette politique. Une attaque FREAK permet ainsi de forcer l’utilisation d’un chiffrement ancien et vulnérable et donc d’intercepter des données en principe protégées. Mise à jour : l'interview d'Antoine Delignat-Lavaud, chercheur au sein de l’équipe Prosecco qui a dévoilé ces failles.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Comment supprimer Superfish sur un ordinateur Lenovo

Comment supprimer Superfish sur un ordinateur Lenovo | Libertés Numériques | Scoop.it
Après avoir présenté ses excuses pour son adware Superfish qui pose de sérieux problèmes de sécurité en installant d'office un certificat auto-signé pour contourner le chiffrement des communications SSL, Lenovo nous a fourni son guide de désinstallation de Superfish traduit en français, visible ci-dessous.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Des hackers préparent des attaques exploitant la faille OpenSSL Heartbleed

Des hackers préparent des attaques exploitant la faille OpenSSL Heartbleed | Libertés Numériques | Scoop.it

Alors que les professionnels de la sécurité invitent les administrateurs de sites à patcher leur plate-forme OpenSSL pour combler la faille Heartbleed , certains informations indications que les cybercriminels sont déjà dans les starting-blocks.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Heartbleed : la NSA aurait su et rien dit

Heartbleed : la NSA aurait su et rien dit | Libertés Numériques | Scoop.it
Selon Bloomberg, l'agence de sécurité américaine aurait eu connaissance de la faille présente dans OpenSSL depuis deux ans, mais aurait préféré ne rien dire pour pouvoir l'exploiter.



more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Yahoo Mail : Le chiffrement SSL 2048-bits activé par défaut pour plus de sécurité

Comme annoncé fin novembre, Yahoo augmente d’un cran la sécurité de son Webmail en activant par défaut le chiffrement en 2048 bits pour toutes les connexions à ce service. Une façon comme une autre de tenter de parer à l’espionnage massif pratiqué par la NSA.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Google's certificate announcement contains a hidden surprise for Windows XP users

Google's certificate announcement contains a hidden surprise for Windows XP users | Libertés Numériques | Scoop.it

Last week Google made an announcement about its use of SSL/TLS with advice to customers on how to ensure the can continue to connect to Google's services.

Duck wrote an excellent overview of the big change - the switch to 2048-bit certificates - but a less prominent aspect of the announcement should also be a concern to IT administrators, particularly those managing the 33% of desktops that are still running Windows XP*.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Brève : Pensez à désactiver RC4 dans SSL / TLS

Brève : Pensez à désactiver RC4 dans SSL / TLS | Libertés Numériques | Scoop.it

La faiblesse de l’algorithme de chiffrement RC4 est bien connue, et cela depuis longtemps (notamment depuis le désastre sécuritaire du protocole WiFi WEP). Pourtant, RC4 demeure encore très utilisé pour assurer la sécurité des flux sous TLS /SSL. Une connexion TLS /SSL sur deux serait encore chiffrée à l’aide de cet algorithme.

Des chercheurs britanniques annoncent avoir découvert une nouvelle attaque contre RC4 et être en mesure de déchiffrer 220 octets d’un stream de données chiffré avec cet algorithme dans le cadre d’une connexion TLS/SSL. L’avantage de leur attaque est qu’elle n’exige aucune finesse (pas de timing précis à respecter, notamment). Mais son défaut majeur est qu’elle nécessite l’interception au préalable d’une très grande quantité de données, et qu’elle n’est donc pas très pratique à mettre en oeuvre.

Plus de détails techniques sont disponibles sur la page web des chercheurs. A l’origine de la faiblesse : la piètre qualité du générateur de nombres pseudo-aléatoires de l’algorithme. Le blog de l’éditeur Sophos propose à ce sujet une excellente analyse de l’attaque.

Inutile toutefois de paniquer pour l’instant : l’attaque ne sera probablement pas mise en oeuvre dans la nature avant un moment. Toutefois les chercheurs proposent malgré tout un scénario impliquant l’envoi répété de cookies d’authentification Gmail à l’insu de l’utilisateur afin d’accumuler une quantité d’information suffisante pour tenter de casser la connexion TLS/SSL.

Même alourdies par de telles limitations, une fois découvertes les attaques ont généralement tendance à s’améliorer. Les chercheurs conseillent donc dès à présent supprimer RC4 de la liste des algorithmes acceptés par vos navigateurs et vos serveurs. Et on ne peut qu’approuver !

Sophos conseille quant à lui de privilégier désormais AES-GCM (Galois/Counter Mode).

A noter que RC4 avait fait un retour en force lorsque des attaques avaient été publiées contre TLS en mode CBC (BEAST, Lucky Thirteen). Mais ces dernières attaques sont désormais contournables et l’usage du mode CBC est à nouveau considéré fiable lorsque les contre-mesures adaptées sont appliquées.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Using Yahoo Mail? You should turn on this privacy option as soon as possible

Using Yahoo Mail? You should turn on this privacy option as soon as possible | Libertés Numériques | Scoop.it
It has taken Yahoo a ridiculously long time, but it is finally rolling out an option that will help protect users' privacy when accessing their web-based email - HTTPS.

Yahoo Mail has lagged behind competitors such as Hotmail (in the process of being rebranded Outlook.com) and Gmail by not allowing users to access their email through HTTPS.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Komodia : L’empire de l’espionnage israélien derrière Superfish

Komodia : L’empire de l’espionnage israélien derrière Superfish | Libertés Numériques | Scoop.it
Vous n’avez surement jamais entendu parlé de Komodia. Il s’agit de la technologie israélienne utilisée par le malware Superfish au cœur du scandale Lenovo, présente aussi dans d’autres produits, du logiciel de contrôle parental au cheval de Troie, en passant par des injecteurs de pubs et des logiciels espions. Un véritable empire.
Le scandale provoqué par le mouchard Superfish, que Lenovo a implanté à l’insu des consommateurs dans ses machines, n’est en fait que la partie visible d’un empire bien plus vaste, tissé par un acteur inconnu du grand public : Komodia. Cette société israélienne a fourni à l’éditeur californien Superfish la technologie nécessaire permettant d’intercepter les flux chiffrés en SSL et d’y insérer des publicités non sollicitées. Pour faire cela, Komodia s’appuie sur un certificat racine auto-signé qui lui permet d’usurper l’identité de n’importe quel site accessible en connexion HTTPS. C’est un peu le même principe qu’avec les fameux « proxy SSL » qui permettent aux employeurs de surveiller les échanges web de leurs salariés.
more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

0,2% des certificats SSL utilisés pour se connecter à Facebook seraient des faux

0,2% des certificats SSL utilisés pour se connecter à Facebook seraient des faux | Libertés Numériques | Scoop.it

ne équipe de chercheurs a tenté de quantifier le problème des faux certificats SSL, utilisés notamment dans le cadre d’attaques de type Man-in-the-Middle (MitM, ou attaque de l’homme du milieu).

La tâche est évidemment complexe car il faut pour cela non seulement avoir accès à une quantité suffisante des connexions HTTPS à travers la planète pour que le résultat soit statistiquement valable, mais il faut surtout être capable de détecter les faux certificats côté client sans pour autant être capable de modifier le navigateur.

Ils y sont parvenu en menant une analyse des connexions SSL destinées à Facebook pendant quatre mois, et les résultats de leur étude sont intéressants.

Près de 0,2% des 3,5 millions de connexions HTTPS qu’ils ont observé utilisent de faux certificats SSL (il s’agit ici bien de véritables connexions initiées par des internautes dans le cadre de leur navigation quotidienne vers Facebook).



more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Heartbleed : les sites touchés, patchés et ce qu'il faut faire

Heartbleed : les sites touchés, patchés et ce qu'il faut faire | Libertés Numériques | Scoop.it
Depuis la découverte du bug Heartbleed, une course contre la montre s'est engagée pour corriger cette vulnérabilité. Du côté des principaux services en ligne, des correctifs ont été déployés. Cependant, des interrogations demeurent. En outre, les usagers doivent aussi agir pour leur propre sécurité.



more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Possesseurs d'iPhone mettez votre Os à jour !

Possesseurs d'iPhone mettez votre Os à jour ! | Libertés Numériques | Scoop.it
La dernière mise à jour de iOs corrige une importante faille de sécurité qui concerne les sites censés être protégés par SSL.


Apple a deployé hier la version 7.0.6 de iOS. Celle-ci a pour unique objet la correction d'une faille touchant les connexions protégées par le protocole SSL. Celui-ci est utilisé dans toutes les connexions du type HTTPs, FTPs, IMAPs et POPs par exemple. Consultez notre article sur le chiffrement. Le même bug est susceptible de toucher les ordinateurs équipés de OS X, pour lequel aucun correctif n'a encore été publié.

Nous nous attacherons, dans cet article, à déterminer les risques pour vous et vos données, et à vous aider à adopter le bon comportement en attendant l'application d'un correctif.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Chiffrement sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net

Chiffrement sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net | Libertés Numériques | Scoop.it
A en croire CNet US, le gouvernement américain aurait cherché à obtenir les master keys de plusieurs acteurs du Web pour pouvoir déchiffrer les communications de leurs utilisateurs, protégées par le protocole SSL.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Google renforce la sécurité SSL avec des clés 2048 bits

Google renforce la sécurité SSL avec des clés 2048 bits | Libertés Numériques | Scoop.it

Pour améliorer la sécurité de ses certificats SSL, Google va progressivement adopter des clés de chiffrement en 2048 bits contre 1024 aujourd'hui.

Après avoir imposé le chiffrement de ses services suite à ses déboires avec le gouvernement chinois, Google prévoit de renforcer la sécurité de ses certificats SSL (Secure Sockets Layer). Ces certificats sont utilisés pour chiffrer les échanges et vérifier l'intégrité des différents intervenants. Sa force réside dans la longueur de la clé privée utilisée comme signature des certificats.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Des chercheurs trouvent une autre méthode d'attaque contre SSL

Des chercheurs trouvent une autre méthode d'attaque contre SSL | Libertés Numériques | Scoop.it

Deux universitaires ont découvert une nouvelle méthode pour attaquer les protocoles SSL utiliser dans les sites HTTPS. Très technique, cette attaque pourrait pousser les librairies SSL a corrigé cette faille et faire évoluer les procoles vers les dernières versions.

Les développeurs de nombreuses librairies SSL vont publier un correctif sur une faille qui pourrait être exploitée pour récupérer, depuis des communications chiffrées, des informations comme les cookies d'authentification des navigateurs.

 

 

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

SSL – Des applications Android populaires vulnérables aux attaques man-in-the-middle

SSL – Des applications Android populaires vulnérables aux attaques man-in-the-middle | Libertés Numériques | Scoop.it
Souvent, les développeurs d’applications Android sont négligents concernant la sécurité et plus particulièrement la protection des informations personnelles des utilisateurs. Beaucoup d’applications acceptent des certificats SSL auto-signés, ce qui les exposent aux attaques de type man-in-the-middle.

Ceci est une évidence issue des résultats d’une enquête de l’Université de Leibniz d’Hannovre en Allemagne, qui ont examiné les applications Android populaires fréquemment utilisées sur Google Play. La faute à quoi ? Les lacunes dans la mise en place de certificats SSL signés.
more...
No comment yet.