{"id":30416,"date":"2017-12-22T07:00:25","date_gmt":"2017-12-22T05:00:25","guid":{"rendered":"https:\/\/www.le-vpn.com\/fr\/?p=30416"},"modified":"2017-12-18T14:29:00","modified_gmt":"2017-12-18T12:29:00","slug":"robot-faille-majeure-oubliee","status":"publish","type":"post","link":"https:\/\/www.le-vpn.com\/fr\/robot-faille-majeure-oubliee\/","title":{"rendered":"ROBOT une faille majeure et oubli\u00e9e"},"content":{"rendered":"

Comment une faille vieille de 19 ans, mettant en p\u00e9ril le chiffrement de certains serveurs web, vient d\u2019\u00eatre red\u00e9couverte par trois chercheurs.<\/em>\u00a0<\/strong><\/p>\n

ROBOT une faille majeure et oubli\u00e9e.<\/strong><\/h3>\n

En 1998, Daniel Bleichenbacher, un cryptographe suisse travaillant pour Bell Labs d\u00e9couvre une vuln\u00e9rabilit\u00e9 RSA dans l\u2019impl\u00e9mentation TLS. En gros une faille dans le syst\u00e8me de chiffrage SSL, vous savez le petit cadenas dans votre navigateur. Le fameux Https\u2026<\/p>\n

Concr\u00e8tement cela signifie que M. Bleichenbacher est \u00e0 m\u00eame de d\u00e9chiffrer des donn\u00e9es \u00e9chang\u00e9es avec un serveur web fonctionnant en https, sans acc\u00e8s \u00e0 la cl\u00e9 priv\u00e9e\u00a0!<\/p>\n

Alors comment \u00e7a fonctionne\u00a0?<\/strong><\/h3>\n

Le chercheur suisse envoie des requ\u00eates chiffr\u00e9es \u00e0 un serveur victime de cette faille. L\u00e0 le serveur r\u00e9pondra \u00e0 chaque requ\u00eate par \u00ab\u00a0Oui\u00a0\u00bb ou \u00ab\u00a0Non\u00a0\u00bb suivant leur validit\u00e9. Il appellera ce m\u00e9canisme l\u2019oracle, car comme les voyants de la Gr\u00e8ce antique, les r\u00e9ponses aux questions ne se font que par l\u2019affirmative ou la n\u00e9gative. En enregistrant suffisamment de ces requ\u00eates, puis en les analysant avec un algorithme de sa cr\u00e9ation, Daniel Bleichenbacher arrive alors \u00e0 d\u00e9chiffrer les donn\u00e9es.<\/p>\n

Qu\u2019est-ce-que \u00e7a implique\u00a0?<\/strong><\/h3>\n

D\u2019une part l\u2019attaquant \u00e0 acc\u00e8s \u00e0 des donn\u00e9es qu\u2019il ne devrait pas (identifiants, mots de passe, num\u00e9ros de cartes bancaires, divers fichiers du site), mais peut aussi potentiellement usurper l\u2019identit\u00e9 d\u2019un serveur en signant \u00e0 sa place\u00a0!<\/p>\n

Cette attaque ayant imm\u00e9diatement \u00e9t\u00e9 rendue publique par le chercheur, des avertissements sont int\u00e9gr\u00e9s d\u00e8s 1999 aux sp\u00e9cifications techniques du protocole TLS, c\u2019est-\u00e0-dire d\u00e8s sa version 1.0<\/p>\n

Alors pourquoi on en parle\u00a0?<\/strong><\/h3>\n

Parce que tr\u00e8s r\u00e9cemment, trois chercheurs, Hanno B\u00f6ck, Juraj Somorovsky et Craig Young, se penchent sur le chiffrement TLS et d\u00e9couvrent que\u2026 la faille de 1998 n\u2019est toujours pas combl\u00e9e\u00a0! Ils testent alors les 100 sites engrangeant le plus de trafic, et r\u00e9sultat, 27 des 100 sites les plus fr\u00e9quent\u00e9s au monde sont attaquables. Ce ne sont donc pas des petites entreprises, on parle ici de Facebook (corrig\u00e9 depuis), PayPal, YouTube\u2026<\/strong><\/p>\n

Cette faille est d\u00e9sormais appel\u00e9e ROBOT<\/strong>, acronyme pour Return of the Bleichenbacher\u2019s Oracle Threat, que l\u2019on pourrait traduire par Le Retour de la Menace de l\u2019Oracle de Bleichenbacher.<\/p>\n

Suis-je atteint\u00a0?<\/strong><\/h3>\n

Si un quart des 100 plus gros sites du monde sont vuln\u00e9rables \u00e0 cette attaque, que penser de ceux qui ne font pas partie de ces g\u00e9ants du Web\u00a0? Le site de votre \u00e9cole, de votre entreprise, VOTRE propre site\u00a0? Sont-ils touch\u00e9s\u00a0?<\/p>\n

Si vous \u00eates admin de votre propre site \/ serveur et que vous vous questionnez sur cette vuln\u00e9rabilit\u00e9, les chercheurs cit\u00e9s pr\u00e9c\u00e9demment proposent un outil de v\u00e9rification. Ainsi en vous rendant \u00e0 cette adresse\u00a0\u00abhttps:\/\/robotattack.org<\/a>\u00bb, il vous sera possible de vous rassurer (ou pas\u2026)<\/p>\n

Et pour les non anglophones (et oui on pense \u00e0 tout chez Le VPN<\/a>), cette page vous explique ce qui suit, si jamais votre serveur pr\u00e9sente la vuln\u00e9rabilit\u00e9. Premier conseil, d\u00e9sactiver purement et simplement le chiffrage RSA sur le serveur en Https. Les auteurs expliquent \u00e9galement qu\u2019il n\u2019est pas n\u00e9cessaire de r\u00e9voquer votre certificat. Il n\u2019y a plus qu\u2019\u00e0 attendre une correction de cette faille dans le protocole.<\/p>\n[vc_row][vc_column]

\"exclusive-deal\"<\/i><\/div><\/div>

OFFRE EXCLUSIVE<\/h3>
<\/span><\/div>
<\/span><\/div><\/div><\/div>

LES 3 PREMIÈRES ANNÉES À 2,22 €\/MOIS<\/p>\n<\/div><\/div>

PROFITEZ EN<\/span><\/div>
<\/div><\/a><\/div><\/div>
\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

<\/div><\/div><\/div><\/div>\r\n<\/div>[\/vc_column][\/vc_row]<\/div>","protected":false},"excerpt":{"rendered":"

Comment une faille vieille de 19 ans, mettant en p\u00e9ril le chiffrement de certains serveurs web, vient d\u2019\u00eatre red\u00e9couverte par trois chercheurs.\u00a0 ROBOT une faille majeure et oubli\u00e9e. En 1998, Daniel Bleichenbacher, un cryptographe suisse travaillant pour Bell Labs d\u00e9couvre une vuln\u00e9rabilit\u00e9 RSA dans l\u2019impl\u00e9mentation TLS. En gros une faille dans le syst\u00e8me de chiffrage<\/p>\n","protected":false},"author":11,"featured_media":30417,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_metadesc":"Comment une faille vieille de 19 ans, mettant en p\u00e9ril le chiffrement de certains serveurs web, vient d\u2019\u00eatre red\u00e9couverte par 3 chercheurs.\u00a0","footnotes":""},"categories":[833,3781],"tags":[4053,248,772],"yst_prominent_words":[4761,4757,4763,1723,4759,4766,2407,4762,4764,4758,1072,2947,1725,4765,1252,1754,1593,4760,2949,1729],"class_list":["post-30416","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog_old","category-top-stories","tag-cyber-securite","tag-cybersecurite","tag-faille-de-securite"],"_links":{"self":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts\/30416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/comments?post=30416"}],"version-history":[{"count":1,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts\/30416\/revisions"}],"predecessor-version":[{"id":30418,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/posts\/30416\/revisions\/30418"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/media\/30417"}],"wp:attachment":[{"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/media?parent=30416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/categories?post=30416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/tags?post=30416"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/www.le-vpn.com\/fr\/wp-json\/wp\/v2\/yst_prominent_words?post=30416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}