Google propose sa propre version d’OpenSSL 25 juin 2014 | Jerome Saiz En brefGoogle propose désormais son propre fork d’OpenSSL, la librairie OpenSource la plus populaire en la matière et dont une faille d’implémentation est à l’origine de la récente attaque HeartBleed (et qui a également connu avant cela son lot de vulnérabilités…) Baptisé … Continuer la lecture →
0,2% des certificats SSL utilisés pour se connecter à Facebook seraient des faux 14 mai 2014 | Jerome Saiz En brefUne équipe de chercheurs a tenté de quantifier le problème des faux certificats SSL, utilisés notamment dans le cadre d’attaques de type Man-in-the-Middle (MitM, ou attaque de l’homme du milieu). La tâche est évidemment complexe car il faut pour cela … Continuer la lecture →
Heartbleed, la faille SSL qui fait mal 09 avril 2014 | Jerome Saiz Fort justement baptisée Heartbleed, la dernière vulnérabilité découverte au sein de la librairie Linux OpenSSL a de quoi, effectivement, faire saigner le coeur des administrateurs systèmes. Certains n’hésitent d’ailleurs pas à la comparer à la grande faille des clés OpenSSL … Continuer la lecture →
Mise à jour de sécurité importante pour iOS, OSX également touché 24 février 2014 | Jerome Saiz En brefMise à jour 26 février 2014 : MacOS 10.9.2 est désormais disponible, qui corrige cette vulnérabilité. Et il est possible de tester si vous êtes vulnérables en vous rendant sur notre SSL Labs. C’est un hasard du calendrier : il y … Continuer la lecture →
Les applications mobiles vulnérables aux faux certificats 13 février 2014 | Jerome Saiz Netcraft a identifié plusieurs dizaines de faux certificats en activité dans le monde usurpant l’identité de géants du web tels Facebook ou Google, mais aussi des banque en ligne et des services web populaires (le serveur de courrier de l’hébergeur … Continuer la lecture →
Mémo : pensez à désactiver RC4 dans SSL / TLS 18 mars 2013 | Jerome Saiz En brefLa faiblesse de l’algorithme de chiffrement RC4 est bien connue, et cela depuis longtemps (notamment depuis le désastre sécuritaire du protocole WiFi WEP). Pourtant, RC4 demeure encore très utilisé pour assurer la sécurité des flux sous TLS /SSL. Une connexion … Continuer la lecture →
Taher Elgamal : « Nous savions qu’il y aurait des problèmes avec SSL » 02 mai 2012 | Jerome Saiz Rencontre a Londres avec Taher Elgamal, le bien connu inventeur de l’algorithme de partage de clés éponyme à l’origine de l’algorithme DSA du NIST. Bref, rencontre avec une figure majeure du petit monde de la crypto. Désormais conseiller spécial pour … Continuer la lecture →
Ivan Ristic : « SSL commence à montrer des faiblesses » 21 mars 2012 | Jerome Saiz « SSL a initialement été conçu pour protéger les numéros de cartes bancaires pendant les transactions sur Internet, mais il se retrouve aujourd’hui à protéger toute la couche transport du web, et il commence à montrer des faiblesses » explique Ivan Ristic, … Continuer la lecture →
Attaque SSL : désactivez la renégociation 26 octobre 2011 | Jerome Saiz THC-SSL-DOS, un nouvel outil destiné à faire tomber les serveurs web mal via HTTPS, semble faire des miracles : il serait capable de neutraliser un serveur web à l’aide d’une simple connexion ADSL, rappelant en cela l’outil Slow Loris. Et … Continuer la lecture →
Milipol Paris 2011 : Ces éditeurs qui disent casser SSL 20 octobre 2011 | Jerome Saiz Le marché des interceptions légale des communications sur Internet est particulièrement représenté sur le salon Milipol. Et cette année à Paris, comme les années précédentes, certains éditeurs annoncent dans ce domaine des prouesses qui peuvent laisser rêveur. C’est notamment le … Continuer la lecture →