Lors de la conférence Black Hat sur la sécurité organisée à Las Vegas, des chercheurs belges ont démontré comment intercepter des données sensibles malgré une connexion HTTPS sécurisée.
Il est question ici de la technique HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows). Tom Van Goethem et Mathy Vanhoef, deux étudiants PhD à la KU Leuven, ont montré lors de la conférence Black Hat comment leur technique permet de contourner des connexions sécurisées.
Les données susceptibles d’être interceptées dépendent de la situation. Mais il peut par exemple s’agir de données de connexion, d’informations personnelles tirées de formulaires web, d’adresses e-mail ou d’autres renseignements complétés et transmis à un site web.
HEIST peut être exécutée par un fichier JavaScript à placer sur la page web, ou dans une publicité affichée sur cette dernière (une méthode fréquente étant donné que leur protection peut être parfois assez aisément abusée). Lorsqu’une victime visite le site web en question, toute une série de pages peuvent être ainsi sollicitées, qui sont normalement protégées par des protocoles de sécurité tels SSL ou TLS.
Bref, HEIST abuse de la façon dont la réponse d’un site est fournie via HTTPS.
L’interception du trafic HTTPS n’est en fait pas unique, mais en général, cela passe par ce qu’on appelle en jargon une ‘man-in-the-middle attack’ (attaque de l’homme du milieu). Il en résulte que le pirate/criminel en question prend par exemple le contrôle de la connexion internet, notamment par le biais d’un réseau wifi ouvert. “HEIST rend nettement plus facile l’exécution d’un certain nombre d’attaques”, explique Van Goethem à Ars Technica.
Avant d’effectuer leur présentation, les chercheurs belges en ont informé Microsoft et Google. Il est donc probable que ces entreprises prendront dans un proche avenir des mesures en vue d’éviter ces interceptions. Mais si vous voulez d’ores et déjà opter pour la précaution, mieux vaut désactiver les ‘third-party cookies’ (mouchards tiers) dans les paramètres du navigateur, même si cela risque de perturber le bon fonctionnement de certains sites.
Découvrez ici la présentation faite à Black Hat et le whitepaper (livre blanc) correspondant à propos de HEIST.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici