«Raccoon Attack» - Vulnérabilité SSL et TLS

15 Dec 2020

«Raccoon Attack» - Vulnérabilité SSL et TLS

Une équipe de chercheurs a récemment découvert une vulnérabilité avec toutes les versions de SSL et TLS 1.2 et des versions précédentes à l’exception de TLS 1.3. Cette vulnérabilité a été baptisée «Raccoon Attack» et les chercheurs ont publié un article sur leurs analyses et leurs conclusions pour une étude plus élargie sur les protocoles cryptographiques.

«Raccoon Attack» exploite une vulnérabilité au niveau des protocoles SSL et TLS impactés et qui permet à un attaquant de décoder le chiffrement et de lire les communications client/serveur sensibles telles que les mots de passe et les numéros des cartes bancaires. Puisque la clé privée du serveur n’est pas vulnérable à Raccoon, les certificats TLS n’ont point besoin d’être réémis. 

 La première cause est que les protocoles TLS / SSL autorisent le traitement à temps non constant des clés Diffie-Helman (DH). Des mesures temporelles précises permettraient à un attaquant de construire un message à partir d’un serveur TLS.

Les pirates informatiques peuvent essayer d'exploiter ces vulnérabilités en combinaison avec d'autres méthodes pour affiner leurs attaques. Il est donc recommandé d’appliquer des mises à jour contre ces vulnérabilités au plus tôt.

«Raccoon Attack» vise à récupérer plusieurs octets d'informations en utilisant une méthode bien établie d'échange de clés à travers les connexions TLS. La méthode utilisée est l'échange de clés Diffie-Hellman (DH). En utilisant cette méthode, les pirates informatiques peuvent ainsi créer un ensemble d'équations et avec l’utilisation d’un solveur pour le Problème des Nombres Cachés (HNP), calculer l’original du «premaster secret» entre le client et le serveur.

Cliquez sur les liens suivants pour plus d’informations :

  • Ici pour les attaques Raccoon et les recommandations des chercheurs.
  • Ici pour les correctifs Windows qui couvrent les clients et les serveurs Windows.

Pour plus d'informations sur ce sujet et nos Solutions & Services de Sécurité, veuillez-nous contacter par mail security@birger.technology.

BIRGER.

You may also like

19 Sep 2017

BIRGER. à l'Ambassade d'Ouganda à Kigali, Rwanda

Jacques Harel, Parwez Bhugalee et Victor Kagimua ont visité l'Ambassade d'Ouganda à Kigali, Rwanda

Read More

11 Sep 2017

Menace émergente - Vulnérabilité RCE d'Apache Struts

Utilisez-vous Apache Struts dans votre environnement? Les pirates informatiques exploitent la vulnérabilité d’Apache Struts.

Lire la suite

03 May 2015

ENTREPRISE Blanche, Birger devient BIRGER. et consolide sa position

Après six décennies, la société familiale Blanche, Birger, créée en 1953, passe à une autre étape et prend désormais le nom de BIRGER. L’entreprise – qui avait démarré comme un comptoir d’achats, évoluant rapidement vers la fourniture de produits de “technologies” (dont les premières caisses enregistreuses des boutiques et supermarchés à Maurice), et également de services, clarifie son offre et revoit son architecture de marque.

Read More