Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

La version finale de cette dernière version du protocole de sécurisation des échanges (TLS 1.3) a été mise en ligne par l'Internet Engineering Task Force l'été dernier.

Dans une publication (qui a déjà quelques semaines) repérée par ZDNet.com et intitulée « Les 9 vies du chat de Bleichenbacher », six chercheurs (Eyal Ronen, Robert Gillham, Daniel Genkin, Adi Shamir, David Wong et Yuval Yarom) affirment avoir identifié une faille permettant d'intercepter des données, y compris chiffrées avec TLS 1.3.

Comme le titre de la publication le laisse entendre, il ne s'agit pas d'une nouvelle brèche, mais d'une énième variante de l'attaque de Bleichenbacher. Pour rappel, nous l'avions détaillée dans cette actualité sur la faille DROWN (elle aussi en est une variante).

Les chercheurs expliquent avoir testé leur attaque sur neuf implémentations de TLS (toutes à jour) : OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS, BearSSL et BoringSSL. Résultat : « seules les deux dernières (BearSSL et BoringSSL) n'ont pas pu être attaquées avec succès ».

Toutes les parties impliquées ont été informées en août 2018. Les chercheurs ajoutent avoir participé à l'étude et la réalisation de contre-mesures. Des correctifs ont été publiés en même temps qu'une préversion de cette publication, en novembre dernier.


Chargement des commentaires
À découvrir dans #LeBrief