Libertés Numériques

Deux universitaires ont découvert une nouvelle méthode pour attaquer les protocoles SSL utiliser dans les sites HTTPS. Très technique, cette attaque pourrait pousser les librairies SSL a corrigé cette faille et faire évoluer les procoles vers les dernières versions.

Les développeurs de nombreuses librairies SSL vont publier un correctif sur une faille qui pourrait être exploitée pour récupérer, depuis des communications chiffrées, des informations comme les cookies d'authentification des navigateurs.

Zscaler, fournisseur de solutions de sécurité en mode cloud a présenté son extension pour Internet Explorer, qui force la bascule en HTTPS des sites web visités.

Une start-up californienne, Zscaler, a présenté HTTPS Everywhere, une extension apportée à Internet Explorer. Ce programme force le navigateur à toujours se connecter via HTTPS sur les sites web. En effet, ces derniers prennent souvent en charge le protocole de communication sécurisée, mais ne l'activent pas par défaut. L'extension implante l'indicateur « secure » sur les cookies d'authentification pour les empêcher de transmettre des informations avec des connexions non chiffrées.

You've probably heard of public-key cryptography, because it's the basis of HTTPS, the system that puts the padlock in your browser.

The mathematical detail behind public-key crypto is a little abstruse, but you don't need to be a mathematician to understand the principles that make it work.

Here's the story.

Traditional encryption (before 1970, at any rate) relies on the digital equivalent of a padlock. Turn the key clockwise to lock; turn the key anticlockwise to unlock.

If you want to share data securely with someone else, you have to make a duplicate of the key and send it to them. So you have to find a secure way of sharing the key first, typically with a face-to-face meeting, or through a trusted courier.