La récente vulnérabilité d’injection SSL, pourtant considérée comme peu exploitable, s’offre cependant une seconde méthode d’exploitation potentielle.

Après avoir été utilisée afin de dérober des crédances Twitter, un consultant en sécurité américain aurait montré comment l’injection peut être utilisée pour forcer le serveur original à rediriger le trafic vers un autre, sous contrôle du pirate celui-ci, afin de forcer la connexion en clair.

Cela rappelle la technique démontrée récemment par Moxie Marlinspike, et comme cette dernière, cela exige de pouvoir mener d’abord une attaque de type man-in-the-middle. Pas grand chose à craindre, donc, sauf en situation de mobilité et de réseau partagé (hôtel, aéroports, etc…).