Drown, une vulnérabilité qui met à mal les serveurs HTTPS

drown attack

Si vous suivez un tantinet soit peu l’actualité informatique, probablement avez-vous déjà entendu parler de l’attaque Drown (Decrypting RSA usingObsolete and Weakened eNcryption), une vulnérabilité critique à laquelle serait exposé environ un tiers des serveurs HTTPS.

Drown affecte plusieurs milliers de sites web

En touchant un tiers des serveurs HTTPS, Drown pourrait forcément faire d’importants dégâts et les sites Internet n’y échapperaient pas et ce quelle que soit leur taille. Parmi les victimes potentielles, se trouvent ainsi Yahoo, Dailymotion, FlickR, Samsung ou encore Le Monde mais ce ne sont là que quelques exemples puisque des milliers de sites web seraient très exposés à cette vulnérabilité.

En réalité, Drown est une vulnérabilité qui profite des faiblesses du protocole SSLv2 qu’utilise la large majorité des serveurs. Aussi, en tirant profit de cette vulnérabilité, un hacker a la possibilité de déchiffrer de nombreuses communications chiffrées en HTTPS.

Ainsi, un pirate peut intercepter un grand nombre de messages parmi lesquels des données plus ou moins sensibles telles codes admin, mots de passe ou coordonnées bancaires.

La vulnérabilité Drown désormais exploitée

Jusqu’à ce que son existence soit rendue publique par une équipe de chercheurs il y a quelques heures, Drown n’avait semble-t-il jamais été exploité.

Aussi, peut-on s’attendre à ce que la donne change maintenant qu’elle est connue par le plus grand nombre ? A vrai dire, difficile de répondre à cette question car il est complexe de prédire les comportements de personnes mal intentionnées.

Pour l’heure, tout ce qu’il est donc possible de dire est que des milliers de sites web pourraient être prochainement menacés par Drown. Si l’on prend en compte toutes les possibilités offertes par cette faille, ce sont près de 6 millions de serveurs HTTPS qui sont ainsi sous la menace de cette vulnérabilité qui n’a assurément pas fini de faire trembler les administrateurs de sites web.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*