Afin d’assurer la confidentialité et garantir la sécurité de la majorité des actions pour payer en ligne ou gérer son compte bancaire, on utilise, en général, le Certificat SSL (un protocole de sécurisation des échanges sur le Net). Cortix vous informe dans cette note, que selon l’éditeur américain Phone Factor, le SSL peut être contourné (pour le grand bien des pirates).
Les conséquences d’une telle menace, peuvent être multiples, du simple vol de mot de passe à la capture des coordonnées bancaires.
Se faire pirater ses coordonnées bancaires, c’est sans doute la plus grande hantise des acheteurs en ligne ! La plupart des e-commerçants rejettent cette possibilité en mettant en avant la sécurité des procédures de paiement en ligne, puisqu’ils utilisent le fameux certificat SSL (Secure Sockets Layer) employé pour la plupart des transactions bancaires.
Qu’en est-il de ce certificat SSL ?
Le SSL est un protocole de sécurisation des échanges sur internet, développé à l’origine par Netscape. Il garantir l’authenticité du serveur auquel un internaute se connecte et garantit la confidentialité et l’intégrité des échanges avec le poste client de l’internaute en mettant en place une connexion chiffrée. Suite au rachat de la technologie SSL par l’IETF, le SSL a été rebaptisé TLS (Transport Layer Security).
Comment reconnaît-on que nous sommes entrain de l'utiliser?
L’internaute peut vérifier que sa connexion utilise le protocole SSL lorsque, dans sa barre d’adresse, l’URL débute par « https » et que dans la barre du bas du navigateur apparaît une clé ou un cadenas fermé.
« Man in the Middle » serait la faille détectée !
Marsh Ray indique sur son blog qu’avec le protocole SSL 3+, il est possible d’intercepter certaines données en cours de transfert entre l’autorité qui délivre le certificat numérique et un site web. Cette faille serait du type «Man in the Middle».
Un faux certificat remplacerait le vrai certificat SSL !
Concrètement, un pirate pourrait imiter et créer un faux-certificat, qui serait accepté par l’internaute, pensant autoriser le bon certificat. Le faux certificat redirigerait donc, l’opération vers une autre adresse IP.
Cortix vous révèle aussi que le chercheur américain Chris Pagett s’interroge actuellement, sur des centaines de mécanismes différents de mises à jours et qu’il affirme que c’est une véritable brèche dans le protocole, une de celle qui exige une nouvelle approche dans la manière dont on envisage le fonctionnement du SSL et qu’il faut absolument réparer.
Inscription à :
Publier les commentaires (Atom)
Aucun commentaire:
Enregistrer un commentaire