Libertés Numériques
Follow
Find tag "TLS"
58.4K views | +4 today
Libertés Numériques
Veille sur la sécurité et les libertés individuelles à l'heure d'Internet.
Your new post is loading...
Your new post is loading...
Scooped by Aurélien BADET
Scoop.it!

Un défaut majeur de sécurité menace les utilisateurs de Linux

Un défaut majeur de sécurité menace les utilisateurs de Linux | Libertés Numériques | Scoop.it

Après Mac OS X et iOS, une faille dans la bibliothèque GnuTLS utilisée par les principales distributions Linux a vite été corrigée pour bloquer les attaques de type man-in-the-middle.

Une erreur dans le code source de la bibliothèque GnuTLS - un ensemble de lignes de code utilisé dans les principales distributions Linux pour gérer des connexions Internet sécurisées - pourrait s'avérer une grave menace pour la vie privée des utilisateurs de systèmes Linux, tant que les développeurs n'auront pas patché la vulnérabilité.

more...
No comment yet.
Scooped by Aurélien BADET
Scoop.it!

Brève : Pensez à désactiver RC4 dans SSL / TLS

Brève : Pensez à désactiver RC4 dans SSL / TLS | Libertés Numériques | Scoop.it

La faiblesse de l’algorithme de chiffrement RC4 est bien connue, et cela depuis longtemps (notamment depuis le désastre sécuritaire du protocole WiFi WEP). Pourtant, RC4 demeure encore très utilisé pour assurer la sécurité des flux sous TLS /SSL. Une connexion TLS /SSL sur deux serait encore chiffrée à l’aide de cet algorithme.

Des chercheurs britanniques annoncent avoir découvert une nouvelle attaque contre RC4 et être en mesure de déchiffrer 220 octets d’un stream de données chiffré avec cet algorithme dans le cadre d’une connexion TLS/SSL. L’avantage de leur attaque est qu’elle n’exige aucune finesse (pas de timing précis à respecter, notamment). Mais son défaut majeur est qu’elle nécessite l’interception au préalable d’une très grande quantité de données, et qu’elle n’est donc pas très pratique à mettre en oeuvre.

Plus de détails techniques sont disponibles sur la page web des chercheurs. A l’origine de la faiblesse : la piètre qualité du générateur de nombres pseudo-aléatoires de l’algorithme. Le blog de l’éditeur Sophos propose à ce sujet une excellente analyse de l’attaque.

Inutile toutefois de paniquer pour l’instant : l’attaque ne sera probablement pas mise en oeuvre dans la nature avant un moment. Toutefois les chercheurs proposent malgré tout un scénario impliquant l’envoi répété de cookies d’authentification Gmail à l’insu de l’utilisateur afin d’accumuler une quantité d’information suffisante pour tenter de casser la connexion TLS/SSL.

Même alourdies par de telles limitations, une fois découvertes les attaques ont généralement tendance à s’améliorer. Les chercheurs conseillent donc dès à présent supprimer RC4 de la liste des algorithmes acceptés par vos navigateurs et vos serveurs. Et on ne peut qu’approuver !

Sophos conseille quant à lui de privilégier désormais AES-GCM (Galois/Counter Mode).

A noter que RC4 avait fait un retour en force lorsque des attaques avaient été publiées contre TLS en mode CBC (BEAST, Lucky Thirteen). Mais ces dernières attaques sont désormais contournables et l’usage du mode CBC est à nouveau considéré fiable lorsque les contre-mesures adaptées sont appliquées.

 

 

more...
No comment yet.