La petite image qui s’affiche dans le coin de votre navigateur pour indiquer qu’un site est compromis ou non pourrait jouer de mauvais tours. Voilà les conclusions d’une équipe transnationale de chercheurs en informatique.
Des scientifiques américains et européens viennent de montrer que l’on peut utiliser le réseau en grid de la PlayStation 3 pour créer de faux certificats. Ils sont parvenus à intégrer ces certificats truqués sur un navigateur, ce dernier considérant alors que la connexion est sécurisée. Edifiant.
Ces scientifiques plutôt hardis du Centre Wiskunde & Informatica (CWI) de Californie mais aussi de l’Université de Technologie des Pays-bas à Eindhoven et des équipes de l’Ecole polytechnique de Lausanne ont parlé de leur découverte lors d’un congrès dédié à la sécurité à Berlin.
Dans la capitale allemande, ils ont montré qu’ils étaient capables de générer deux messages différents avec une seule signature électronique. Pour cela ils ont utilisé un algorithme de leur composition.
Les chercheurs ont donc montré qu’il ne fallait pas avoir une confiance aveugle dans les sites dont les URL débutent par https puisqu’ils sont maintenant « piratables », certes par des mains expertes. L’intérêt de la méthode réside alors dans le fait que le navigateur est leurré: il considère qu’il s’agit bel et bien d’un site valide et correctement identifié. D’autant que le certificat digital MD5 est toujours utilisé par de nombreux sites même s’il permet d’être activé par des tiers pour créer de faux certificats de validité.
Cette vulnérabilité aurait déjà été identifiée voilà quatre années par des chercheurs chinois qui avaient noté ce phénomène lorsqu’ils ont fait s’affronter deux signatures digitales identiques. L’une valide, l’autre pirate.
Cette technologie de hackingn’en est qu’à ses balbutiements puisque la puissance nécessaire pour effectuer ce type d’attaque nécessiterait 30 années de calcul pour un ordinateur traditionnel.
Or
, l’utilisation du « réseau » de la PlayStation 3 a réduit ce délai àtrois jours seulement. De quoi inquiéter les éditeurs de navigateurs Web.
Si cette faille était utilisée massivement le phishing ou arnaque aux faux sites s’en trouverait d’autant plus facilité. Il serait alors bien plus compliqué de démasquer le faux du vrai.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…