Aucun titre de diapositive - PowerPoint PPT Presentation
Title:
Aucun titre de diapositive
Description:
Le protocole SSL est utilis pour s curiser les communications sur Internet (par ... Exemple : transmission d'un mot de passe pour ouvrir une bo te aux ... – PowerPoint PPT presentation
Number of Views:33
Avg rating:3.0/5.0
Title: Aucun titre de diapositive
1
Transactions sur Internet le cadenas défaillant
À chaque fois que le logiciel demail envoie le
nom dutilisateur et le mot de passe chiffrés, le
pirate peut poser une question. Ainsi, le pirate
va tout dabord deviner la dernière lettre du mot
de passe, puis les deux dernières lettres, puis
trois, etc. En exploitant cette faille du
protocole, le pirate parvient à établir un
dialogue de ce genre
Le protocole SSL est utilisé pour sécuriser les
communications sur Internet (par exemple envoi et
réception demails, transactions bancaires en
ligne, etc.). Ce protocole permet de créer un
tunnel entre deux ordinateurs à travers lequel
les informations envoyées seront chiffrées et
donc incompréhensibles pour quelquun qui ne se
trouve pas à un bout ou lautre du
tunnel. Exemple transmission dun mot de passe
pour ouvrir une boîte aux lettres électronique.
Est-ce que le mot de passe se termine par  A ?
1
2
NON
3
Est-ce que le mot de passe se termine par  G ?
B
A
OUI
- Létablissement du tunnel se fait ainsi
- Lordinateur A annonce à lordinateur B quil
veut ouvrir un tunnel sécurisé. - A et B saccordent sur le procédé de chiffrement
quils vont utiliser ainsi que sur une clé
secrète. - Le tunnel est prêt à être utilisé pour
communiquer de manière sécurisée.
Est-ce que le mot de passe se termine par  NG ?
NON
. . .
SSL gère les erreurs qui peuvent avoir lieu lors
du transfert de données en renvoyant des messages
à lexpéditeur. En utilisant ces messages
derreurs, il est possible pour un pirate de
décrypter les données envoyées dans le tunnel (le
mot de passe par exemple).
De nombreux logiciels demail accèdent à la boîte
aux lettres (cest-Ã -dire envoie le mot de passe
de lutilisateur) de façon automatique et
régulière (par exemple Microsoft Outlook est
configuré par défaut pour se connecter à la boîte
aux lettres toutes les 5 minutes). Le logiciel
demail va également envoyer le mot de passe de
lutilisateur à la boîte aux lettres pour chaque
dossier existant (voir image ci-dessous, dossiers
Inbox, Outbox, Sent Items, etc.). Ceci donne
dautant plus de chance au pirate de découvrir le
mot de passe.
À chaque fois que le logiciel demail de
lutilisateur accède à la boîte aux lettres, un
pirate peut sintroduire dans la communication
afin de décrypter le mot de passe de
lutilisateur.
X
Utilisateur
Boîte aux lettres
Pirate
Le logiciel demail envoie à la boîte aux lettres
le nom de lutilisateur et son mot de passe
chiffrés. Le pirate intercepte cette
information. Le pirate forge de faux messages
chiffrés à partir dhypothèses de la forme  le
mot de passe se termine par XYZ . Si lhypothèse
nest pas vérifiée, le serveur rejette le message
avec une erreur de format. Si lhypothèse est
vérifiée, le serveur rejette le message avec une
erreur dauthenticité (le message était
forgé). Le message derreur peut donc être
interprèté comme une réponse à la question
 est-ce que le mot de passe se termine par XYZ
? .
Il est donc conseillé de ne pas mettre à jour ses
dossiers à chaque connection à la boîte aux
lettres et également de configurer le logiciel
demail pour interroger la boîte aux lettres
toutes les 30 minutes ou plus. N.B. Si le
procédé de chiffrement utilisé par le logiciel
demail est RC4 alors il ny a pas de risque.
Recommended
CrystalGraphics Presentations
