SSL cracké

orbitalcoil · 23 Février 2003

Des chercheurs Suisse de l'Ecole polytechnique fédérale de Lausanne ont réussi à pirater le protocole de sécurité le plus répandu sur Internet, réputé inviolable, le SSL. Ils ont pu ainsi intercepter les mots de passe passant par le chiffrement SSL.

Une mise à jour de SSL a été diffusée au même moment de l'annonce de cette découverte. «Concrètement, nous avons développé un programme qui nous a permis d'intercepter le mot de passe d'une personne utilisant un logiciel de communication sécurisé par SSL», explique le professeur Serge Vaudenay.

Un programme SSL est transparent pour l'utilisateur, on le distingue cependant via le petit s, comme secured, qui apprait aprés le http d'une adresse internet - https://. -

le site de l'EPFL

Vous devez être connecté pour voir les liens.

source : http://www.zataz.com/

xam · 23 Février 2003

[:gordo]

sinon la maj du ssl consiste en koi ?

orbitalcoil · 23 Février 2003

aucune idée encore

Patch · 23 Février 2003

le SSL a tenu + longtemps que je l'aurais cru quand même
principe du SSL : codage d'une clé sur 128bits => un pirate fait touner sa machine 3j maxi pour tester toutes les possibilités et casser le code

Ayuget · 23 Février 2003

[citation=4513,1][nom]Patch a écrit[/nom]le SSL a tenu + longtemps que je l'aurais cru quand même
principe du SSL : codage d'une clé sur 128bits => un pirate fait touner sa machine 3j maxi pour tester toutes les possibilités et casser le code
[/citation]
ca aurait été fait depuis belle lurette si c'était aussi simple, non? :??:

Patch · 23 Février 2003

en fait je sais pas [:grosminet]
le code doit être + complexe que ce que je pensais [:matleflou]

xam · 23 Février 2003

[citation=4526,1][nom]Patch a écrit[/nom]en fait je sais pas [:grosminet]
le code doit être + complexe que ce que je pensais [:matleflou]
[/citation]en trois jour la connexion elle est pas couper ?

Patch · 23 Février 2003

s'ils trouvent le moyen de garder la clé sur le dur c pas un pb

Johan_et_Pirlouit · 24 Février 2003

Ouaip.. "Moyennement" cool :/ !! Même pas du tout..

Comme tout ce qui est informatique, donc basé sur des algorythmes mathématiques, est crackable un jour ou l'autre.... Rien ne peut être "inviolable" !! Je ne suis donc pas étonné qu'ils aient fini par trouver la faille.. Mais, naïvement et vu les puissances atteintes par certains clusters d'ordis, je pensais même que c'était déjà plus ou moins fait..

Il faut s'y faire et éviter de se laisser raconter les habituels pipos commerciaux genre "dormez tranquille, c'est sécurisé, on veille pour vous"

.. Laissons donc les pros du merketting nous abreuver de leurs certitudes et restons aptes à les relativiser

..

[:jesors] :merci:

pistolero · 24 Février 2003

Justement relativison, vous avez plus de chance de vous faire piquer votre numero de carte bleu chez votre buraliste, qui a je rappel une copie de votre coupon de transaction en clair.. (certain s'emmerde pas pour les revendres)

Et qui plus est, meme si on arrive a piquer votre numero durant la fraction de second qui permet la transaction sur internet, c'est pas si evident de debité, ou de l'utiliser sans se faire avoir. car faut bien une adresse de livraison si on veut acheter un truc.
Laisse les trucs de boules mais bon.

et meme la banque est tenue de rembourser toutes les opérations banquaires que vous contestez.
Donc oui relativison

patry · 24 Février 2003

Surtout qu'il existe des solutions, en particulier avec les cartes à numéro unique par achat qui minimisent ces risques.

Par contre attention, dans certains cas (billets d'avion electronique, ou réservation d'hotel), il faut pouvoir présenter la carte ayant servi à l'achat.

Ayuget · 24 Février 2003

j'y connais rien mais la banque chez qui t'a fait ta transaction 'sécurisée' est coupable si on te pique ton n° de CB, non?

Gilbert_Gosseyn · 24 Février 2003

SSL va être à terme remplacé par le TLS, donc ...

le-com21 · 24 Février 2003

ouais enfin une mise a jour corrige ce petit problemes....

encore faut-il que les administrateurs fassent leur boulot

Gilbert_Gosseyn · 24 Février 2003

[citation=4664,1][nom]le-com21 a écrit[/nom]ouais enfin une mise a jour corrige ce petit problemes....

encore faut-il que les administrateurs fassent leur boulot
[/citation]Tout à fait. Mais encore faut-il aussi que les utilisateurs le fassent aussi sinon ...

pistolero · 25 Février 2003

j'y connais rien mais la banque chez qui t'a fait ta transaction 'sécurisée' est coupable si on te pique ton n° de CB, non?

Normalement, sécurisé ou non, fait sur internet ou non, que tu est pris une assurance anti vol ou non, la banque est tenus de rembourser touts achats contestés.

Bon bien sur ca entraine changement de carte bleu, ouverture d'une enquete, mais ce n'est pas a toi de prouver ta bonne fois.
Ils sont tenus de rembourser
je parle meme pas de leur assurance a 200 fr/an que les banquiers vendent pour justement contret ce genre de fraude alors que de tte facon ils sont obliger de rembourser
bande d'arnaqueur.

666 · 25 Février 2003

le SSL 48bit avait déjà été cassé à l'EPFL
mais c'est vrai qu'il faut relativiser, si qqn veut un n° de CB, il va pas s'amuser à casser du SSL alors qu'il y a 50 autres moyens bien plus faciles...

FLo14 · 25 Février 2003

Z'ont que ça à foutre les Suisses

[:matleflou]

911GT3 · 25 Février 2003

apt-get update && apt-get -u upgrade :sol:

xam · 25 Février 2003

[citation=4913,1][nom]911GT3 a écrit[/nom]apt-get update && apt-get -u upgrade :sol:
[/citation]format C

ah bon ca marche pas ?

SSL cracké

orbitalcoil

xam

orbitalcoil

Patch

Ayuget

Patch

xam

Patch

Johan_et_Pirlouit

pistolero

patry

Ayuget

Gilbert_Gosseyn

le-com21

Gilbert_Gosseyn

pistolero

666

FLo14

911GT3

xam