20 Ans vieux breaks bug cryptage internet: comment savoir si votre navigateur est affecté

Un nouveau bug de cryptage est apparue récemment, ce qui pourrait constituer une menace pour la vie privée en ligne. Surnommé « logjam, » le bogue se produit dans le TSL (la couche de sécurité des transports), un protocole de chiffrement utilisé pour authentifier les serveurs et cacher le contenu de l`activité Web sécurisé (comme votre connexion bancaire).

Le bug permet de forcer votre navigateur et le serveur auquel il est connecté, d`utiliser une forme faible de chiffrement qui est vulnérable aux attaques de force brutale-un attaquant man-in-the-middle. Ceci est lié à la vulnérabilité « freak » découvert et corrigé plus tôt cette année. Ces insectes font suite à des problèmes de sécurité plus catastrophiques comme heartbleed et Shellshock.SUPERFREAK: New Affecte Desktop fragiles sur Bug de sécurité & Sécurité du navigateur mobileSUPERFREAK: New Affecte Desktop fragiles sur Bug de sécurité & Sécurité du navigateur mobileLa vulnérabilité FREAK est celle qui affecte votre navigateur, et il ne se limite pas à un seul navigateur, ni aucun système d`exploitation unique. Découvrez si vous êtes affecté et vous protéger.Lire la suite

954px-Internet1

Bien que les correctifs sont dans les œuvres pour la plupart des principaux navigateurs, le correctif peut laisser des milliers de serveurs web inaccessibles jusqu`à ce qu`ils soient mis à niveau avec code corrigé.

Un héritage militaire

Contrairement à la plupart des failles de sécurité, qui sont causés par simple surveillance programmeur, Cette vulnérabilité est au moins partiellement intentionnelle. Retour au début des années 1990, lorsque la révolution du PC a débuté, le gouvernement fédéral craignait que l`exportation de la technologie de cryptage fort pour les puissances étrangères pourrait compromettre sa capacité à espionner les autres nations. À l`époque, la technologie de cryptage fort a été considéré, juridiquement, être une forme d`armes. Cela a permis au gouvernement fédéral de mettre des limites à sa distribution.1000 iOS applications ont Bug SSL incapacitant: Comment vérifier si vous êtes touchés1000 iOS applications ont Bug SSL incapacitant: Comment vérifier si vous êtes touchésLe bug AFNetworking donne des problèmes des utilisateurs iPhone et iPad, avec 1000s d`applications portant une vulnérabilité résultant des certificats SSL d`être correctement authentifiés, ce qui pourrait faciliter le vol d`identité par des attaques man-in-the-middle.Lire la suite

Par conséquent, lorsque le protocole SSL (le Secure Socket Layer, prédécesseur de TSL) a été mis au point, il a été développé en deux saveurs - la version américaine, qui a soutenu les touches de pleine longueur 1024 bits ou plus, et la version internationale, qui grimpait à 512 clés de -bit, qui sont de façon exponentielle plus faible. Lorsque les deux versions différentes de talk SSL, ils retombent plus facilement cassé la clé de 512 bits. Les règles d`exportation ont été modifiées en raison d`un jeu de droits civiques, mais pour des raisons de compatibilité ascendante, les versions modernes de TSL et SSL ont toujours un soutien pour 512 touches de bits.

081203-N-2147L-390

Malheureusement, il y a un bogue dans la partie du protocole TSL qui détermine la longueur de clé à utiliser. Ce bogue, logjam, permet l`homme au milieu attaquant à tromper les clients en pensant qu`ils parlent à un système traditionnel, qui veut utiliser une clé plus courte. Cela dégrade la force de la connexion, et le rend plus facile à décrypter la communication. Ce bogue a été caché dans le protocole depuis une vingtaine d`années, et a récemment été découvert.Qu`est-ce qu`un homme-In-The-Middle Attack? Sécurité Jargon ExplainedQu`est-ce qu`un homme-In-The-Middle Attack? Sécurité Jargon ExplainedLire la suite

Qui est touché?

Le bug affecte actuellement environ 8% des meilleurs d`un million de sites HTTPS activés, et un grand nombre de serveurs de messagerie, qui ont tendance à exécuter du code obsolète. Tous les principaux navigateurs web sont affectés à l`exception d`Internet Explorer. sites concernés montreraient le verrouillage https vert en haut de la page, mais ne seraient pas sûr contre certains attaquants.

Les éditeurs de navigateurs ont convenu que le correctif le plus robuste à ce problème est d`enlever tout le soutien existant pour les clés RSA de 512 bits. Malheureusement, cela rendra une partie de l`Internet, y compris de nombreux serveurs de messagerie, indisponibles jusqu`à ce que leur firmware est mis à jour. Pour vérifier si votre navigateur a été patché, vous pouvez visiter un site mis en place par les chercheurs en sécurité qui ont découvert l`attaque, à weakdh.org.

attaque Praticité

Alors, comment vulnérables est une clé de 512 bits ces jours-ci, de toute façon? Pour le savoir, il faut d`abord regarder exactement ce qui est attaqué. échange de clés Diffie-Hellman est un algorithme utilisé pour permettre à deux parties de convenir d`une clé de chiffrement symétrique partagée, sans le partager avec un fouineur hypothétique. L`algorithme Diffie-Hellman repose sur un premier numéro partagé, intégré dans le protocole, qui dicte sa sécurité. Les chercheurs ont pu fissurer le plus commun de ces nombres premiers dans une semaine, leur permettant de déchiffrer environ 8% du trafic Internet qui a été chiffré avec le premier 512 bits plus faible.

Cela met cette attaque à la portée d`un « attaquant coffee shop » - un petit voleur espionnent sessions via WiFi public, et les clés de forçage brute après le fait de récupérer l`information financière. L`attaque serait trivial pour les entreprises et les organisations comme la NSA, qui pourraient aller à des efforts considérables pour mettre en place un homme dans l`attaque du milieu pour espionnage. De toute façon, cela ne représente un risque de sécurité crédible, tant pour les gens ordinaires et tous ceux qui pourraient être vulnérables à l`espionnage par des forces plus puissantes. Certes, quelqu`un comme Edward Snowden devrait être très prudent sur l`utilisation de WiFi non sécurisé pour l`avenir prévisible.3 dangers de l`exploitation sur une connexion Wi-Fi publique3 dangers de l`exploitation sur une connexion Wi-Fi publiqueVous avez entendu que vous ne devriez pas ouvrir PayPal, votre compte bancaire et peut-être même votre e-mail tout en utilisant WiFi public. Mais quels sont les risques réels?Lire la suite

640px-Backlit_keyboard (1)

Plus inquiétant encore, les chercheurs suggèrent également que les premiers longueurs standard qui sont considérés comme sécurisés, comme Diffie-Hellman 1024 bits, pourraient être vulnérables aux attaques de la force brutale par des organisations puissantes du gouvernement. Ils suggèrent la migration vers des tailles de clés beaucoup plus importantes pour éviter ce problème.

Est-Secure Data Nos?

640px-Nsa_sign

Le bug est logjam un rappel désagréable des dangers de la régulation de la cryptographie à des fins de sécurité nationale. Un effort d`affaiblir les ennemis des États-Unis a liquidé mal tout le monde, et nous faire tous moins sûrs. Il arrive à un moment où le FBI fait des efforts pour forcer les entreprises de haute technologie pour inclure des backdoors dans leur logiciel de cryptage. Il y a une très bonne chance que s`ils gagnent, les conséquences pour les décennies à venir seront tout aussi graves.

Qu`est-ce que tu penses? Devrait-il y avoir des restrictions sur la cryptographie forte? Est-il sécurisé votre navigateur contre logjam? Faites le nous savoir dans les commentaires!

Articles connexes
Matériel contre le cryptage logicielMatériel contre le cryptage logiciel
Quels sont les types les plus courants d`attaque sur les serveurs web?Quels sont les types les plus courants d`attaque sur les serveurs web?
Qu`est-ce que le cryptage est utilisé sur une machine atm?Qu`est-ce que le cryptage est utilisé sur une machine atm?
Comment intégrer ssl avec un site webComment intégrer ssl avec un site web
Comment protéger contre l`usurpation d`identité ssl ip?Comment protéger contre l`usurpation d`identité ssl ip?
Qu`est-ce que « 64 bit de chiffrement »?Qu`est-ce que « 64 bit de chiffrement »?
Avantages et inconvénients de chiffrement à clé symétriqueAvantages et inconvénients de chiffrement à clé symétrique
Est-ce qu`un cryptage de by-pass hacker?Est-ce qu`un cryptage de by-pass hacker?
Qu`est-ce que le cryptage ssl (256 bits)?Qu`est-ce que le cryptage ssl (256 bits)?
Quelle est la force de cryptage 7-zip?Quelle est la force de cryptage 7-zip?
Qu`est-ce que wep sur wi-fi signifie?Qu`est-ce que wep sur wi-fi signifie?
Sécurisé contre courriel non sécuriséSécurisé contre courriel non sécurisé
Chaque version de windows est affectée par cette vulnérabilité - ce que vous pouvez faire à ce sujet.Chaque version de windows est affectée par cette vulnérabilité - ce que vous pouvez faire à ce sujet.
Superfreak: nouveau bug fragiles sur la sécurité affecte la sécurité du navigateur de bureau et mobileSuperfreak: nouveau bug fragiles sur la sécurité affecte la sécurité du navigateur de bureau et mobile
Si vous utilisez aes ou tkip pour un réseau plus rapide wi-fi?Si vous utilisez aes ou tkip pour un réseau plus rapide wi-fi?
En fouillant dans le battage médiatique: a heartbleed fait de mal à personne?En fouillant dans le battage médiatique: a heartbleed fait de mal à personne?
Méfiez-vous les utilisateurs de windows: vous avez un grave problème de sécuritéMéfiez-vous les utilisateurs de windows: vous avez un grave problème de sécurité
Superfish n`a pas été pris encore: détournement d`avion ssl expliquéSuperfish n`a pas été pris encore: détournement d`avion ssl expliqué
Comment tester la sécurité de votre réseau domestique avec des outils de piratage informatique gratuitsComment tester la sécurité de votre réseau domestique avec des outils de piratage informatique gratuits
Est-ce que la configuration de votre routeur par défaut vous rendre vulnérable aux pirates et les escrocs?Est-ce que la configuration de votre routeur par défaut vous rendre vulnérable aux pirates et les escrocs?