Une faille dans le protocole de sécurité Internet SSL

SSL (Secure Socket Layer), le protocole de sécurisation des échanges le plus utilisé sur le Net, a été cassé par une équipe de l’École polytechnique fédérale de Lausanne (EPFL, Suisse). En moins d’une heure, le professeur Serge Vaudenay et un étudiant, Martin Vuagnoux, sont parvenus à trouver l’identifiant et le mot de passe d’un utilisateur utilisant Outlook Express 6.0. Une fois les paramètres de compte obtenus, ils pouvaient usurper l’identité de l’utilisateur afin de consulter son courrier électronique, passer des transactions financières ou autres. En résumé, les chercheurs ont exploité un algorithme de chiffrement utilisé dans le protocole SSL. Par un jeu d’aller-retour de messages d’erreurs du serveur, ils sont parvenus à décrypter le mot de passe recherché. Faut-il pour autant cesser toute transaction en ligne et arrêter de consulter ses e-mails ? Absolument pas. Une nouvelle version du protocole a été élaborée afin de garantir la confidentialité des transactions chiffrées. Jusqu’à la prochaine fois…