Le Black Hat pointe du doigt des failles dans le certificat SSL

Seul Sous L'eau 230
Hier, lors du fameux Black Hat, conférence bien connue sur la sécurité (ou l'insécurité) informatique organisée à Las Vegas, le protocole Secure Socket Layer (SSL), ou Transport Layer Security (TLS), a été mis à mal.

SSL TSL Opera

Comme annoncé il y a déjà quelques semaines, les spécialistes du Black Hat ont dévoilé jeudi de nombreuses failles dans ce fameux protocole de sécurisation sur Internet. Ils ont ainsi prouvé qu'il était possible via ces failles de dérober des mots de passe, et tout ce que cela comporte (accès au webmail, au compte bancaire en ligne, au compte sur un site d'achat, Paypal, etc.).

Pour Mark Zusman, de Intrepidus Group et Alexander Sotirov, de phmsecurity.com, à l'initiative de cette découverte, les certificats non EV (Extended Validation) ne sont pas sûrs car trop aisément utilisable, notamment pour les sites d'hameçonnage, les fameuses arnaques phishing.

Pire, les certificats dits "EV", pourtant censés être plus sécurisés, n'étant pas délivrés à n'importe qui, sont eux aussi contournables.

Pour en savoir plus, nous vous conseillons la lecture des documents suivants :
Une amélioration des navigateurs, et une plus grande vigilance et une remise en question de VeriSign (qui délivre ces fameux certificats), sont notamment conseillées par Mark Zusman et Alexander Sotirov afin de remédier à ce "léger" problème...