- Les résultats
- Que disent les experts?
- Que pouvez-vous faire?
Si vous pensiez que vos données étaient en sécurité, réfléchissez-y à nouveau. Parce que, selon des études universitaires, il a été découvert qu'en raison de la vulnérabilité de TLS 1.3, les pirates informatiques peuvent désormais accéder à un canal sécurisé et peuvent collecter des données à des fins malveillantes.
Le document de recherche a été publié par l'Université de Tel Aviv, l'Université d'Adélaïde et l'Université du Michigan, ainsi que par l'Institut Weizmann. De plus, NCC Group et Data61 ont également conclu à des conclusions similaires.
Les résultats
L’attaque est une version modifiée de l’attaque Bleichenbacher Oracle qui, dans le passé, était capable de décoder un message crypté RSA à l’aide de la cryptographie à clé publique.
Cette nouvelle vague, cependant, cherche à contrer le TLS 1.3, qui est la dernière version parmi les protocoles TLS. Les autorités ont estimé qu'il était sécurisé mais apparemment ce n'est pas le cas et c'est alarmant!
Etant donné que TLS 1.3 ne prend pas en charge l’échange de clés RSA, les chercheurs ont jugé préférable de passer à la version rétrogradée, c’est-à-dire TLS 1.2, à des fins d’évaluation de l’attaque.
Par conséquent, des mesures d'atténuation de rétrogradation telles qu'un côté serveur et un côté client qui contourne l'attaque par déclassement. En concluant ainsi que s’il y avait des clés RSA plus grandes, ces attaques auraient pu être évitées et le délai de prise de contact aurait été raccourci.
Neuf implémentations TLS différentes ont été étudiées; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL et GnuTLS, parmi lesquels BearSSL et BoringSSL de Google étaient sûrs. Tous les autres sont restés vulnérables.
Que disent les experts?
Pour ce qui est du nombre d’attaques, Broderick Perelli-Harris, directeur principal de Venafi, estime qu’elles sont en train de faire leur apparition depuis 1988 sous les variations de Bleichenbacher. Il n’est donc pas surprenant que TLS 1.3 soit également vulnérable.
Jake Moore, spécialiste de la cybersécurité chez ESET UK, est d’avis que l’attaque de nature cryptographique n’est pas la première et ne sera pas la dernière du genre. Il est également d'avis que cela s'apparente au jeu de Whac-A-Mole - chaque fois qu'un correctif de sécurité est appliqué, un autre apparaît.
Que pouvez-vous faire?
Dans l’ensemble, la faille réside dans la composition originale du protocole de cryptage TLS. Mais pour l’instant, la conception même du correctif de protocole est le seul moyen de progresser.
Que pouvez-vous faire pour vous protéger entre-temps? Utilisez une authentification à deux facteurs (2FA), maintenez votre logiciel à jour tel qu'un anti-malware / antivirus, définissez des mots de passe plus forts et un service VPN décent tel qu'Ivacy.
