Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
 Your new post is loading...
Your new post is loading...
Scoop.it!
From
www
Le chiffrement des canaux de communication à l’aide du protocole https protège la confidentialité des échanges pour les services en ligne. Quelles sont les règles à respecter pour pouvoir déchiffrer et analyser ces flux ? 
No comment yet.
Sign up to comment
Scoop.it!
Stéphane NEREAU's insight:
Si la réponse de la communauté Web est plutôt satisfaisante en matière de patching, elle l’est beaucoup moins en matière de certificats. Rappelons que l’exploitation de la faille permet, en théorie, de récupérer en mémoire des informations sensibles, comme des clefs cryptographiques. En avril dernier, Arnaud Soullie, auditeur chez Solucom, expliquait dans nos colonnes : « Les découvreurs de Heartbleed ont dans un premier temps expliqué que les certificats n’étaient pas concernés par la faille. Mais, sur un environnement de test, deux assaillants sont parvenus à reconstituer la clef privée du serveur. Par mesure de précaution, il faut donc renouveler le certificat et régénérer une nouvelle clef privée ». Dans les faits, moins d’un quart des sites faisant partie du premier million du classement Alexa ont remplacé leurs certificats dans la semaine suivant la divulgation. Si les sites les plus populaires ont réagi très vite, seul 10 % de ceux qui étaient encore vulnérables 48 heures après la divulgation ont changé leurs certificats dans le mois qui a suivi. Et, parmi ces « bons élèves », 14 % ont ‘oublié’ de renouveler leur clef privée… annulant par là même le bénéfice provenant du remplacement des certificats.
Scoop.it!
Stéphane NEREAU's insight:
La problématique n’est pas nouvelle. Les flux HTTPS représentent déjà une part significative du trafic Internet. Mais l’annonce faite récemment par Google, l’acteur leader du référencement surtout en Europe, de sa volonté de privilégier sur son moteur de recherche les sites proposant des connexions HTTPS (combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS) risque de donner un sérieux coup d’accélérateur au phénomène. Avec des conséquences pour les webmasters, mais surtout pour les responsables sécurité (RSSI) des entreprises, comme l’explique Dominique Loiselet, directeur général del’éditeur américain Blue Coat pour la France.
Scoop.it!
Selon un chercheur de Qualys, 20 000 des 155 000 sites très populaires sur l'Internet sont encore exposés à une vulnérabilité critique identifiée dans OpenSSL.
Stéphane NEREAU's insight:
Pour exploiter la vulnérabilité CVE-2014-0224 pour décrypter et modifier le trafic SSL, les attaquants doivent s'insinuer entre un client et un serveur utilisant tous deux le protocole OpenSSL. L'attaque dite « de l'homme du milieu » (HDM) ou « man in the middle » (MITM) a pour but d'intercepter les communications entre les deux parties, sans que, ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis ». Il faut aussi que le serveur exécute une version OpenSSL de la série 1.0.1.
Scoop.it!
L'infographie suivante révèle un vrai paradoxe : la plupart des internautes qui utilise les hotspots Wi-Fi continuent de s'y connecter sans protection en sachant très bien que cela est risqué pour leurs informations personnelles (vol d'identité). Sommes-nous devenus masochistes ? Via Intelligence Economique, Investigations Numériques et Veille Informationnelle
Stéphane NEREAU's insight:
3/4 des habitués des réseaux Wi-Fi publics savent qu'ils risquent le vol d'identité, et continuent pourtant de s'y connecter régulièrement sans protection.
http://www.privatewifi.com/infographic-76-say-free-wifi-can-lead-to-identity-theft/
Pour éviter qu'un petit malin ne collecte à la volée toutes les informations sensibles que vous échangez sur un réseau Wi-Fi ouvert, il existe certaines précautions à observer : Utiliser un VPN (Private WiFi, Hotspot Shield, etc.) pour "tunelliser" vos communications, et donc les isoler des hackers potentielsNe se connecter que sur les sites qui proposent le HTTPS (l'extension HTTPS Everywhere pour Chrome et Firefox peut vous simplifier la tâche)Eviter de manipuler des données trop sensibles : accès bancaires, professionnels et administratifs.
|
Scoop.it!
Un consultant britannique a présenté sur son site une proof of concept exploitant une fonctionnalité récente d’HTTPS afin de tracker un visiteur du site, même lorsque celui-ci décide de passer par une fenêtre de navigation privée.
Stéphane NEREAU's insight:
Il explique que grâce à HSTS, il est parvenu à isoler un code permettant d’identifier le navigateur utilisé par un internaute visitant le site. En effet HSTS génère et stocke une valeur pour chaque site selon le comportement du navigateur et l’activation automatique ou non d’HTTPS. Pour identifier un utilisateur, Sam Greenhalgh teste les valeurs du navigateur pour 32 sites différents et regroupe ces 32 valeurs dans un seul code, converti en base36, qui permet d’identifier le navigateur utilisé. Un exemple de sa technique, nommée HSTS Super Cookie, est présenté sur le site et permet de tester le comportement du navigateur.
Scoop.it!
Stéphane NEREAU's insight:
Avec la version 32 de Firefox sortie récemment (voir « Firefox 32 veut allier performances et flexibilité »), Mozilla a décidé de ne plus reconnaître les certificats utilisant des clés RSA de 1024 bits, jugées trop peu sécurisées. Ces derniers sont utilisés dans le cadre de sites web accessibles en HTTPS.
Scoop.it!
1. Eliminez vos cookies et votre historique de navigation à chaque fin de session sur Internet 2. Utilisez un navigateur qui respecte la vie privée de l’utilisateur. 3. Oubliez Google et utilisez un moteur de recherche alternatif. 4. Utilisez un service de chiffrement du courrier électronique. 5. Chiffrez votre navigation 6. Changez vos mots de passe régulièrement et sécurisez vos différents comptes 7. Bloquez la publicité et évitez de vous faire tracer 8. Chiffrez vos dossiers
Stéphane NEREAU's insight:
quelques conseils à suivre suivant ses besoins.
Stephane Manhes's curator insight,
April 16, 2014 10:50 AM
Tous ne sont peut-être pas nécessaires selon vos besoin. Peut-être pourrait on ajouter Tor et parler de protection du poste également : antivirus et sauvegarde. |
