Cependant, avec Lucky Thirteen, Alfardan et Paterson montrent que cette modification n'empêche pas les attaques. Matthew Green, professeur en chiffrement de l'Université John Hopkins de Baltimore dans le Maryland a expliqué dans un billet de blog, « cette méthode montre qu'il est effectivement possible d'accéder à cette minuscule différence de temps à une distance relativement proche, par exemple sur un LAN ». Il ajoute que « cette réussite est due en partie à l'évolution du matériel informatique, la plupart des récents ordinateurs sont maintenant livrés avec un compteur de cycle CPU facilement accessible. Par ailleurs, les techniques statistiques sont utilisées pour diminuer la latence et le bruit d'une connexion réseau ».
Une évolution vers la dernière version TLS
Pour autant, si la proximité est une chose, Lucky Thirteen exigerait aussi des millions de tentatives pour récupérer suffisamment de données pour effectuer une analyse statistique pertinente des écarts temporaires et surmonter les bruits du réseau. Pour atteindre cet objectif, les pirates devront trouver le moyen de forcer le navigateur de l'internaute à réaliser un très grand nombre de connexion HTTPS. Cela peut être fait en plaçant un bout de code JavaScript malveillant sur un site visité par la victime.
Si les experts en sécurité se veulent rassurant, Matthew Green estime qu'il s'agit d'une « première étape, que l'attaque peut s'améliorer dans le temps et que d'autres attaques peuvent être découvertes ». Pour Ivan Ristic, directeur de l'ingénierie chez Qualys, la réponse est peut-être à trouver dans RC4, un chiffrement des flux qui date de 1987. « Le RC4 n'est pas très aimé, mais cela semble la solution la plus forte actuellement », souligne le responsable. Le passage au TLS 1.2 est aussi avancé par Ivan Ristic, mais selon les données de Pulse SSL de Qualys, « seuls 11% des 177 000 sites en HTTPS supportaient TLS 1.2 ». Cette attaque peut selon lui accélérer le déploiement de la dernière version de TLS.
Des chercheurs trouvent une autre méthode d'attaque contre SSL
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire