Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 22-09-2011 16:19:39

Olivier
N00b
Inscription : 22-09-2011
Messages : 3

BEAST ou comment 2 chercheurs ont fait tomber le SSL3.0

Deux chercheurs, Juliano Rizzo et Thai Duong, viennent de faire tomber le HTTPS, en réussissant à déchiffrer un cookie Paypal en moins de 10 minutes.

Basé sur JavaScript, BEAST signifie Browser Exploit Against SSL/TLS. Il permet à un attaquant sur un même réseau ( session utilisateur active ; attaque de type man-in-the-middle ) d'intercepter et déchiffrer des cookies SSL via une attaque sur des paquets cryptés.

L'attaque fonctionne uniquement avec des communications chiffrées avec TLS 1.0 et les versions antérieures, c'est-à-dire SSL 3.0 et moins. Disponible depuis 2006, TLS 1.1 n'est a priori pas vulnérable. Reste que la majorité des connexions HTTPS se font en utilisant TLS 1.0.

Thai Duong souligne que la vulnérabilité dont tire parti BEAST existait depuis la première version de SSL, mais elle était considérée jusqu'à présent comme non exploitable, et d'ajouter que BEAST fonctionne pour la grande majorité des navigateurs et sites Web.

TLS 1.0 / SSL 3.0 : faille pour les sites sécurisés

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 22-09-2011 17:37:01

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : BEAST ou comment 2 chercheurs ont fait tomber le SSL3.0

Bonjour Olivier, merci pour l'info.

Ps: Essayes de prendre le temps de nommer correctement tes balises quand tu postes un lien wink.
Je me permet d'éditer le tien pour te donner un exemple.
Cordialement.


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#3 23-09-2011 07:27:30

Olivier
N00b
Inscription : 22-09-2011
Messages : 3

Re : BEAST ou comment 2 chercheurs ont fait tomber le SSL3.0

Vous pensez que c'est une attaque similaire à Sslstrip ?

D'après ce que j'ai compris, les attaques actuelles sur du HTTPS se contentaient de rediriger l'utilisateur vers un site en clair (HTTP) ou bien de remplacer la certification (CA). Ici ils décryptent du contenu toujours crypté, mais en trafiquant le navigateur pour qu'il crypte mal le contenu.

Hors Ligne

#4 24-09-2011 21:29:46

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 354

Re : BEAST ou comment 2 chercheurs ont fait tomber le SSL3.0

Non là c'est bien différent de Sslstrip, l'outil va utiliser une iframe injectée dans ton navigateur comme un cheval de troie pour déchiffrer le ssl, le souci c'est que c'est relativement long à exploiter et lorsque le cookie de session est récupéré après une dizaine de minutes il n'est plus utilisable sur la plupart des sites sécurisés dignes de ce nom. Cela dit c'est un outil effectivement très dangereux.

“BEAST is like a cryptographic Trojan horse – an attacker slips a bit of JavaScript into your browser, and the JavaScript collaborates with a network sniffer to undermine your HTTPS connection,” Trevor Perrin, an independent security researcher, wrote in an email. “If the attack works as quickly and widely as they claim it's a legitimate threat.”

Jettes un oeil à cet article: Hackers break SSL encryption used by millions of sites Beware of BEAST decrypting secret PayPal cookies

Hors Ligne

#5 28-09-2011 08:20:03

Olivier
N00b
Inscription : 22-09-2011
Messages : 3

Re : BEAST ou comment 2 chercheurs ont fait tomber le SSL3.0

Merci pour tes explications, M1ck3y.

Je suis aussi tombé sur un blog qui décortique très bien les implications :
Blog Stéphane Bortzmeyer: BEAST et TLS, la fin du monde ?

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.026 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]