SSL 3.0 a plus de 15 ans et n’est presque plus utilisé. Malgré tout, une vulnérabilité critique du protocole peut être exploitée via une attaque Man-In-The-Middle en provoquant une erreur sur le TLS et en contraignant le basculement sur SSL 3.0.
Research and publish the best content.
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Already have an account: Login
Cybersécurité - Innovations digitales et numériques
38.5K views |
+0 today
Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
Curated by
Stéphane NEREAU
 Your new post is loading...
Your new post is loading...
Scoop.it!
Stéphane NEREAU's insight:
Le 18 juillet dernier lors de la conférence HOPE X de New York, le chercheur en sécurité Jonathan Zdziarski (aka Nervegas, spécialiste de la sécurité iOS et contributeur à plusieurs jailbreak iOS) à dévoilé des vulnérabilités volontairement implémentées par Apple dans son système d’exploitation mobile. 
Scoop.it!
Stéphane NEREAU's insight:
Un représentant d'un groupe dénommé « w0rm » déclare sur Twitter avoir hacké la base de données clients de CNET.com. Cette team de hackeurs russes a d'ailleurs posté une image de l’accès à distance à un serveur du site américain, ce qui prouve l’intrusion. Jen Boscacci, directeur de la communication de CBS Interactive (qui détient CNET) a déclaré dimanche 13 juillet : « quelques serveurs ont été consultés, nous avons identifié le problème et nous l’avons résolu ». Il s’agirait en fait d’une faille de sécurité dans le framework Symfony du site.
|
Scoop.it!
Pendant le concours SOHOpelessly Broken qui s'est tenu à Las Vegas dans le cadre de la conférence DefCon 22 (7-10 août), les participants ont réussi à s'introduire sur cinq modèles de routeurs.
Stéphane NEREAU's insight:
« En général la sécurité des routeurs Soho n'est pas une priorité des fabricants parce que leurs marges sur ces produits sont assez faibles et ils cherchent à commercialiser leurs matériels le plus rapidement possible, plutôt que d'investir dans des cycles de vie de développement sécurisé et des audits de sécurité », a déclaré Stephen Bono. « Etant donné que la plupart des routeurs sont vulnérables, quel que soit le fabricant, les incitations à passer par un développement sécurisé ne sont pas très fortes. Cependant, comme les attaques massives contre les routeurs sont de plus en plus courantes et étant donné que les utilisateurs commencent à comprendre les risques associés au piratage des routeurs, la sécurité peut devenir un facteur de différenciation sur ce marché », a déclaré le président de Independent Security Evaluators.
Scoop.it!
Stéphane NEREAU's insight:
Comme de nombreux routeurs, les équipements Cisco proposent une fonction de gestion à distance, via un accès web en HTTPS (HTTP sécurisé). Mais malheureusement, cet accès chiffré ne suffit pas à sécuriser complètement une connexion distante : l’exploitation d’un bug par dépassement de tampon (buffer overflow) peut permettre à un pirate d’accéder au routeur, sans saisir d’identifiant ou de mot de passe, et d’en prendre le contrôle. Concrètement, il suffit d’injecter du code malveillant dans les champs d’identification, au delà du nombre de caractères normalement accepté.
Scoop.it!
Un hacker a montré qu’il était très facile d’intercepter les emails des élus européens et de pénétrer leurs comptes de messagerie. L’institution promet d’y remédier.
Stéphane NEREAU's insight:
Exploitant une faille dans le logiciel de messagerie Exchange de Microsoft, utilisé dans l'ensemble des institutions européennes, cet expert informatique a réussi à avoir accès ces derniers mois « et de manière régulière » à l'ensemble des courriels de 14 députés, assistants parlementaires et employés européens qu'il avait sélectionnés de manière aléatoire, histoire de démontrer que le système n'était pas sûr. Parmi les élus espionnés figurent également des Français tels que Jean-Jacob Bicep (Verts), Maurice Ponga (UMP-PPE) et Constance Le Grip (UMP-PPE). Selon le hacker, cette faille rend facilement accessibles les données personnelles et des dizaines de milliers de mails d'élus européens.
|
La faille dans le protocole autorise ainsi un attaquant disposant d’un accès réseau à lire des communications pourtant chiffrées. Baptisée POODLE (Padding Oracle On Downgraded Legacy Encryption) affecte à la fois sites Internet et navigateurs Web supportant SSL 3.0.