Accueil > Nouvelles Cyber > L'attaque DROWN, ou comment Intercepter HTTPS Communications
CYBER NOUVELLES

L'attaque DROWN, ou comment Intercepter HTTPS Communications

Juste au moment où les choses se calme autour du bug heartbleed infâme, une nouvelle vulnérabilité vient autour et nous mord. La question est certainement la façon dont la morsure est blessante.

Bien, beaucoup. Selon les chercheurs en sécurité, NOYER, la nouvelle vulnérabilité en question, affecte un tiers des sites HTTPS, ou approximativement 33% des serveurs. Il a été décrit comme une « nouvelle attaque de protocole croix » par le groupe de chercheurs qui ont révélé qu'il. Même si le nombre est pas grand par rapport aux dommages causés par heartbleed, il est encore un pénible.

En savoir plus sur Le Bug heartbleed

La vulnérabilité DROWN Explained: CVE-2016-0800

La première chose à mentionner est que l'attaque DROWN est identifiée comme CVE-2016-0800. Au moment où cet article est écrit, Pas de description officielle est disponible sur cve.mitre.org.

DROWN est en effet une vulnérabilité dans OpenSSL qui compromet les serveurs utilisant SSLv2. Une attaque exploitant la vulnérabilité se termine par le décryptage des communications HTTPS du site Web et le vol des données cryptées.

Qu'est-ce que signifie Drown?

L'acronyme signifie RSA en utilisant Décryptage EnCryption obsolète et Affaibli. Il a été identifié par une équipe de 15 Les experts en sécurité de plusieurs universités.

Pourquoi Drown Déployé par des attaquants?

Parce qu'il peut intercepter toute communication entre les utilisateurs et le serveur et voler des données sensibles sur le chemin. Qu'est-ce que cela signifie? Usernames, les mots de passe, les numéros de carte de crédit, e-mails, toutes sortes de documents, messages instantanés peuvent être volés. Un autre résultat d'une crise DROWN est attaquants se faisant passer pour une sécurité (HTTPS) site web et en changeant le contenu affiché à l'utilisateur.

Autres Exploits de rester loin de: Patate chaude

Quels sites sont vulnérables à une attaque DROWN?

La liste des sites vulnérables https://drownattack.com/top-sites.html est assez grand. Des centaines de domaines de Alexa Top 10,000 ont été jugées vulnérables à MitM (-middle man-in-la) attaques juste avant l'attaque DROWN a été divulgué au public en Mars 1. Pour résumer, sites, les serveurs de messagerie, ainsi que les services dépendants-TLS sont sujettes à une attaque DROWN. Malheureusement, de nombreux sites populaires sont à risque de la vulnérabilité, y compris Yahoo, Alibaba, Flickr, ainsi que les sites Web des fournisseurs de sécurité populaires.

Votre site Web peut être Drown-ed?

Une attaque DROWN est basée sur TLS (Sécurité Transport Layer). TLS est un protocole qui est considéré comme meilleur que SSL (Secure Sockets Layer). Cependant, à la fois TLS et SSL utilisent la même clé de session RSA cryptée qui génère la connexion HTTPS.

Qu'est-ce que tout cela signifie?

Les serveurs utilisant toujours SSLv2 et TLS simultanément sont sujettes à l'exploit, alors assurez-vous de désactiver SSLv2. Cependant, une configuration de serveur supplémentaire pourrait exposer les sites Web à la vulnérabilité, même dans les cas où le site Web emploie seulement TLS.

Voici ce que disent les chercheurs:

Vous êtes tout autant à risque si l'on utilise ailleurs le certificat ou la clé de votre site sur un serveur qui prend en charge SSLv2. Des exemples courants comprennent SMTP, IMAP, et les serveurs de messagerie POP, et les serveurs HTTPS secondaires utilisés pour les applications Web spécifiques.

Un autre grand danger vient du « recyclage » des clés RSA, car la réutilisation des serveurs rend sensibles à de telles attaques. Par exemple, votre site est à risque, si les admins ont enlevé le protocole SSLv2, mais n'a pas sécurisé le protocole TLS avec de nouvelles clés RSA.

En savoir plus sur La réutilisation des clés Inquiétante RSA

Pour vous assurer que votre site n'est pas sujette à l'attaque DROWN, Utilisez le DROWN vérificateur.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord