Actualités

Inscrivez-vous

PGP et SSL sont dans un bateau...

Edition du 14/08/2002 - par Marc Olanié

... ou ce qui pourrait s'apparenter à une sérieuse galère. Deux failles « crypto » viennent d'être découvertes en ce début de semaine, l'une touchant PGP, l'autre affectant la couche SSL d'Internet Explorer. Dans les deux cas, la mise en oeuvre est quelque peu complexe... ce qui n'est en aucun cas une garantie d'immunité : le calibre des armes d'un pirate est toujours proportionnel à la valeur de l'information protégée. Dans les deux cas, le scénario d'attaque repose sur la technique de « l'homme du milieu ».

Pour ce qui concerne PGP, le cassage de clef nécessite une interception du message crypté, une modification du contenu -dont le décryptage donnera nécessairement des résultats étranges- et un « retour à l'expéditeur » (que signifie l'infâme sabir que vous m'envoyâtes) de la part du destinataire. Les explications détaillées se trouvent sur le site de Bruce Schneier, qui précise que l'opération n'est réalisable qu'à partir du moment où le document en question n'a pas été « compressé » au fil du cryptage : les CRC accompagnant le fichier ainsi traité signalent immédiatement les maltraitances infligées à l'original. Précisons que l'article doctoral de Schneier est plus une méthode d'exploitation qu'une recette spécifique. Rien n'interdit de penser que cette pratique puisse être étendue à d'autres procédés de codage.

Le contournement du SSL utilisé par Microsoft, quant à lui, a fait l'objet d'une alerte au fil du Bugtrack sous la plume de Mike Benham. Plus qu'une simple alerte, Benham publie un exploit à compiler sur noyau Gnu Linux 2.4, capable de violer une session SSL « y compris dans le cadre d'une liaison RTC ». L'exploit permet d'utiliser un certificat octroyé à un domaine particulier (en toute légalité) et de « convertir » cette « patte blanche » pour qu'elle soit prise pour argent comptant dans le cadre de n'importe quel autre domaine. De cette manière, il devient possible d'intoxiquer un client doté d'Internet Explorer, le programme ne poussant pas assez loin les vérifications de validité de l'autorité de certification. Là encore, la méthode ne concernerait pas seulement les logiciels Microsoft et pourrait être étendue à d'autres navigateurs.

Encore du Schneier, dans le style « Sa Vie, son Oeuvre, ses attaques atrabilaires » au fil d'un article kilométrique de notre confrère The Atlantic. Les spécialistes de la sécurité n'y apprendront pas grand-chose, mais l'article est plaisant à lire et dresse un panorama assez complet -et complexe- du coté obscur de la Force.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

Dangers du web : une hotline à l'écoute des parents et des mineurs

(...)

5000 PC contaminés par un vieux virus dans les hôpitaux londoniens

(...)

Articles récents

Dangers du web : une hotline à l'écoute des parents et des mineurs

(02/12/2) - La ministre de l'Intérieur Michèle Alliot-Marie, et le Secrétaire d'Etat chargé du (...)

5000 PC contaminés par un vieux virus dans les hôpitaux londoniens

(02/12/2) - Trois hôpitaux de Londres sont presqu'entièrement de nouveau en ligne, après que (...)

Spam : les soubresauts d'un réseau de PC zombies

(01/12/2) - Seulement deux semaines après avoir été démantelé, Srizbi, un gros botnet (ou réseau (...)

Symantec joue les infiltrés dans les réseaux de cybercriminels

(26/11/2) - Le rapport de l'éditeur Symantec décrit une véritable économie planétaire du cybercrime. (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Alertes

Toutes les alertes

Le FBI avertit de nouvelles attaques du vers Storm

(30/07/2) - Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Attaques à venir suite à la révélation de détails sur la faille DNS

(24/07/2) - Des détails révélant les mécanismes de l'attaque des serveurs DNS ont été publiés (...)

Code d'attaque disponible pour la faille DNS

(24/07/2) - Des hackers ont délivré un logiciel qui exploite (...)

Actualités RT

Plus de 17 millions d'abonnés au haut débit en France

(02/12/2) - La France comptait, au 30 septembre dernier, 17,125 millions d'abonnés au haut débit (...)

Microsoft pourrait développer son propre smartphone

(02/12/2) - Microsoft pourrait se lancer prochainement sur le marché de la téléphonie mobile (...)

SFR présente la Neufbox dédiée à la fibre optique

(01/12/2) - SFR officialise le 1er décembre la cinquième version de la Neufbox, la NB5. Cette (...)

LIVRES BLANCS

	> 1 décembre 2008 - Comment résoudre les deux problèmes clés liés à la Virtualisation Des environnements virtualisés accélérés. Téléchargez ce livre blanc et découvrez comment les services d'optimisation de réseau étendue (WAN) contribuent aux bénéfices de la virtualisation et de la consolidation informatique, tout en traitant les problèmes de performances et de disponibilité

	> 1 décembre 2008 - Des économies considérables : réduction des coûts grâce aux services de données en zone étendue Économies extrêmes avec les services d'optimisation de réseau étendue. Téléchargez ce livre blanc de Riverbed et découvrez comment des entreprises de toutes tailles ont utilisé des services d'optimisation de réseau (WAN) étendue pour faire d'importantes économies par la réduction de bande passante et la consolidation informatique

	> 18 novembre 2008 - La Virtualisation : Planifier une Infrastructure Virtuelle La planification et le déploiement d'une infrastructure virtuelle peut représenter un défi même si elle apporte des avantages conséquents. Les entreprises commencent à utiliser cette technologie pour protéger leur système et données les plus sensibles. A travers ce livre blanc, découvrez les avantages de la virtualisation et les méthodes pour la planifier et la déployer au sein de votre entreprise.

	> 18 novembre 2008 - Protéger Les Serveurs Virtuels avec Acronis True Image Echo La virtualisation peut simplifier la gestion des serveurs et peut réduire le coût total d'exploitation. Cependant, malgré les avantages de la virtualisation, son utilisation peut s'avérer délicate en matière de reprise d'activité après sinistre. Apprenez comment sauvegarder et restaurer un serveur virtuel et comment créer et déployer un Plan de Reprise d'Activité en lisant ce livre blanc.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Copyright © Réseaux et Télécoms 2003-2008
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site, faite sans l'autorisation de l'éditeur ou du webmaster de Réseaux et Télécoms est illicite et constitue une contrefaçon. IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.

	A propos	Contacts

Les sites d'IT News Info : Actualité du monde IT -Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Magazine Masculin - Actualité high tech et usage du numérique