Sécurité Suisse Lausanne

On sait de façon “intellectuelle” que rien n’est jamais définitif dans ce bas-monde, et qu’en particulier aucun code de chiffrement ni aucun protocole de sécurité n’est jamais totalement inviolable. Reste que lorsque ce qui n’est considéré que comme une éventualité improbable se traduit dans les faits, il y a un certain nombre de mesures à prendre en compte une fois la surprise passée.

C’est ce qui s’est produit à propos du protocole de sécurité SSL(Secure Sockets Layer), le plus courant sur internet et jusqu’à présent réputé inviolable, et les chercheurs de l’Ecole Polytechnique Fédérale de Lausanne ont réussi un joli coup en le “fendant”. Ces derniers ont imaginé une attaque qui permettait de “sniffer” le mot de passe d’un utilisateur lorsque l’algorithme de chiffrement était de type CBC Cipher Block Chaining et que l’attaquant ne se trouvait pas trop loin de sa cible. La nouvelle version d’OpenSSL (0.9.7.a) qu’il “Valais” mieux en effet sécuriser intègre désormais le correctif à l’attaque imaginée par les chercheurs helvètes.
– Des trous dans le SSL