Le protocole https n'est pas totalement sécurisé

Le protocole https comporte-t-il des failles ?

Deux chercheurs ont découvert en 2011 une faille au niveau du protocole HTTPS (Hypertext Transfer Protocol Secure), et ont même réussi à exploiter la vulnérabilité du protocole en mettant au point un logiciel qu’ils ont baptisé : « BEAST » (Browser Exploit Against SSL/TLS).

Théoriquement, pour qu’une attaque puisse être réalisée sans échec, elle doit d’abord réussir à s’interposer entre le navigateur et le site web cible. Ensuite, il ne reste plus au hacker qu’à effectuer une injection de code dans le navigateur du poste cible, en restant dans le cadre de la session HTTPS qu’il souhaite accéder.

Sur le plan pratique, la réalisation d’une telle démarche n’est pas toujours aussi simple. Cependant, avec l’apparition de l’outil BEAST, la sécurité du protocole https, est totalement remise en question.

BEAST constitue une nouvelle arme permettant aux hackers d’exploiter les failles de sécurité du protocole https

BEAST agit comme un cheval de Troie cryptographique, et il suffit que le pirate informatique possède des connaissances approfondies en matière de programmation Java, et qu’il arrive à injecter un code de JavaScript dans le navigateur de sa cible, pour compromettre la connexion https. Le code JavaScript peut collaborer avec le renifleur (sniffer) réseau pour exploiter la vulnérabilité du protocole https, en attaquant directement sa confidentialité.

Vous pouvez consulter l’agence Anti Cybercriminalité pour vous conseiller sur les différentes précautions à prendre afin d’éviter les attaques de ce genre.