BlackHat : de nouveaux moyens pour contourner HTTPS
Lors de la conférence BlackHat, qui s’est déroulée cette semaine outre-Atlantique, le hacker Moxie Marlinspike a présenté de nouvelles astuces pour contourner la protection HTTPS et obtenir des données personnelles par attaque de type « man-in-the-middle.
Lors de la conférence BlackHat, qui s’est déroulée cette semaine outre-Atlantique, le hacker Moxie Marlinspike a présenté de nouvelles astuces pour contourner la protection HTTPS et obtenir des données personnelles par attaque de type « man-in-the-middle. » En 2002, Moxie Marlinspike s’était déjà illustré avec concevant l’outil sslsniff, un logiciel permettant « d’écouter » des communications en apparence protégées par SSL. Un outil notamment employé pour exploiter le bug de l’algorithme MD5 utilisé pour la création de certains certificats SSL.
Cette fois-ci, avec l’outil sslstrip, Moxie Marlinspike revisite le scénario de l’attaque par « man-in-the-middle » en supprimant le chiffrement côté client, mais en le maintenant côté serveur. Le tout avec force ruse et icônes de cadenas pour tromper la vigilance de l’internaute malheureux.
