Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Robert Sobers, Varonis : Drown la nouvelle faille majeure qui menace internet

mars 2016 par Robert Sobers, directeur marketing chez Varonis

Avec DROWN, une grande partie du web (serveurs de messagerie, VPNs, etc.) est vulnérable à une attaque qui, bien que difficile à exécuter, permet de déchiffrer une connexion sécurisée cryptée. Les spécialistes estiment que plus de 3,5 millions de serveurs HTTPS sont vulnérables.

Selon les détails de l’attaque, les entreprises pourraient être tentées de penser « Aucun de mes serveurs importants utilise SSLv2, donc je suis en sécurité ». Et pourtant… Si l’entreprise ne dispose ne serait-ce que d’un seul service SSLv2 en cours d’exécution qui n’ait pas été mis à jour ou désactivé, celui-ci peut mettre à jour les systèmes qui utilisent d’autres protocoles à risque comme TLS (si les clés RSA sont partagées).

Il s’agit en effet d’une attaque "cross-protocol". En termes plus simples, un pirate peut récupérer des messages cryptés à partir d’un serveur TLS parfaitement à jour et utiliser le serveur SSLv2 vulnérable pour les décrypter.

La réponse idéale à cette attaque est donc de désactiver complètement non seulement SSLv2 (ce qui peut être compliqué), mais également de s’assurer que les clés privées ne soient pas partagées avec des serveurs qui utilisent SSLv2.




Voir les articles précédents

    

Voir les articles suivants