Si vous vous servez régulièrement des réseaux sociaux, messageries ou vous effectuez des paiements en ligne, vous savez sans doute qu’ils reposent sur le protocole SSL, cette technologie de chiffrement qui protège vos échanges entre les sites et vous sur le Web. Le SSL se matérialise généralement par la fameuse icône du petit cadenas …
La très mauvaise nouvelle, c’est que deux chercheurs sont parvenus à faire tomber ce système de cryptage. On peut donc rapidement se rendre compte de l’étendu des dégât de ce « simple hack » qui pourrait ouvrir les portes de n’importe quel compte tel que récupération mot de passe, informations personnelles sensibles, etc …
Les chercheurs qui ont réussi à casser le code sont Thai Duong et Juliano Rizzo. Ils vont montrer cette semaine pendant la conférence de sécurité Ekoparty comment ils arrivent à se jouer de la sécurité SSL de PayPal avec du code bien ficelé pour pouvoir intercepter les informations à leur guise.
«BEAST est différent que la plupart des attaques contre les HTTPS. Alors que d’autres attaques se concentrent sur la propriété d’authenticité du SSL, BEAST s’attaque à la confidentialité du protocole», écrit Thai Duong dans un courriel. Ainsi, il ne faut que quelques minutes à trojan BEAST pour craquer des cookies SSL.
bonne nouvelle pour les pirates