Jusqu'ici, vous pensiez que vous pouviez effectuer des transactions en ligne complètement en sécurité sur Internet. Dès qu'un site arborrait le préfixe
https://, vous étiez en confiance. Une faille de sécurité vient cependant d'être découverte.
Ce sont des chercheurs de l'École polytechnique fédérale de Lausanne (EPFL) qui ont réussi à «casser» ce protocole qui était jusqu'ici infaillible devant les pirates. Le Pr Serge Vaudenay, directeur du Laboratoire de sécurité et de cryptographie (Lasec) de l'EPFL, l'étudiant avec lequel il travaillait, Martin Vuagnoux, et un responsable de la cryptographie dans une grande banque, Alain Hiltgen, ont pu obtenir en moins d'une heure le mot de passe d'un internaute qui se connectait à un service en ligne sécurisé.
Il y a cependant deux variables au protocole SSL (Secure Sockets Layer) ou plutôt, deux types d'algorithmes de chiffremment. Celui affecté par la faille est le CBC (cipher block chaining) tandis que la plupart des produits de Microsoft n'en seraient pas affectés, utilisant le cryptage de type RC4.
Pour que l'opération soit une réussite pour un pirate, il doit être en présence de conditions particulières. Le temps de réponse du serveur sécurisé ne doit pas dépasser 0,24 secondes, donc être situé près du serveur en question et bien entendu, utilisé le chiffrement de type CBC.
La faille a immédiatement été signalée aux développeurs du protocole SSL et un correctif a immédiatement été publié.