SSL décrypté en 30 secondes

30 secondes. C’est le temps nécessaire à l’attaque BREACH pour décrypter une donnée “secrète” dans une page web transmise compressée au navigateur. En exploitant le fait que les données en clair ont la même taille que les données chiffrées et en mesurant le taux de compression obtenu pour chaque essai, BREACH révèle un par un chacun des caractère du secret. Démontrée en live pour deviner le “canary” de Outlook Web Access utilisé pour protéger l’application contre les attaques de type CSRF, le vol de session est rendu possible et OWA configuré pour transférer tous les mails à une adresse tierce. En 30 secondes.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !