Re: [HS] écoute https
On Tue, Sep 13, 2005 at 08:54:42PM +0200,
François Boisson <user.anti-spam@maison.homelinux.net> wrote
a message of 24 lines which said:
> d'une interception d'un numéro de carte bleu sur une connexion SSL
> https,
Il existe des tas de solutions, petit cadenas ou pas :
1) Il doit encore exister des navigateurs avec du SSL bridé à 40 bits
(lois d'exportation états-uniennes et d'utilisation françaises)
2) On peut faire du "man in the middle" c'est-à-dire se mettre au
milieu de la conversation et prétendre être le serveur vis-à-vis du
client et être le client vis-à-vis du serveur. Si le "man in the
middle" a un certificat signé, c'est faisable (tout dépend de la
vigilance de l'utilisateur).
3) On peut simplement capter le rayonnement du clavier ou de l'écran,
ce qui se fait à dix ou vingt mètres de distance avec le matériel
kivabien.
4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de
SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans
le protocole (comme l'attaque qui permettait, dans les vieilles
versions de SSL, de forcer le passage en chiffrement faible, même si
le navigateur savait faire du fort).
Bref, le petit cadenas a surtout un rôle psychologique.
Reply to: