Un des mécanismes (protocole) les plus célèbres pour établir des communications sûres et cryptées avec les sites web est ce qu’on appelle le protocole TLS.


2::Heartbleed
3::Attaque Drown
1::Zeus

Ce n'est pas la bonne réponse. Néanmoins, le bogue Heartbleed concerne la sécurité d’OpenSSL (un outil open source exécutant le protocole TLS). Il s’agit d’une erreur de programmation, annoncée pour la première fois le 7 avril 2014 sur le site web

http://heartbleed.com/, permettant à chacun de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL (et, par conséquent, cette réponse peut être considérée comme partiellement correcte). Plusieurs services populaires en ligne ont été affectés par Heartbleed; pour plus d’informations, voir également la note flash de l’ENISA intitulée: «Heartbleed - A wake-up call» pouvant être consultée à l’adresse suivante: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Néanmoins, aujourd’hui, la plupart des sites ont résolu les problèmes liés à Heartbleed.

 

La bonne réponse est: Attaque Drown. Cette attaque permet à un espion électronique d’intercepter et de décrypter les communications entre un utilisateur et un site web https censé être sûr, dans le cas où le serveur TLS utilisé par le site supporte le protocole obsolète SSLv2, un prédécesseur du protocole TLS. L’attaque DROWN est un excellent rappel des dangers de la cryptographie obsolète. Aucun serveur TLS ne devrait utiliser le protocole SSL, quelle que soit la version.

Pour de plus amples informations, voir:

https://drownattack.com/

ainsi que la note d’information de l’ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack

 

Il s’agit de la bonne réponse. L’attaque Drown permet à un espion électronique d’intercepter et de décrypter les communications entre un utilisateur et un site web https censé être sûr, dans le cas où le serveur TLS utilisé par le site supporte le protocole obsolète SSLv2, un prédécesseur du protocole TLS. L’attaque DROWN est un excellent rappel des dangers de la cryptographie obsolète. Aucun serveur TLS ne devrait utiliser le protocole SSL, quelle que soit la version.

Pour de plus amples informations, voir:

https://drownattack.com/

ainsi que la note d’information de l’ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Veuillez également noter que le bogue Heartbleed concerne la sécurité d’OpenSSL (un outil open source exécutant le protocole TLS). Il a été annoncé pour la première fois en 2014 et a affecté un grand nombre de serveurs TLS. Aujourd’hui, la plupart des sites ont résolu les problèmes liés à ce bogue. Pour plus d’informations, voir la note flash de l’ENISA intitulée: «Heartbleed - A wake-up call» pouvant être consultée à l’adresse suivante:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call

 

Ce n'est pas la bonne réponse. Zeus est un logiciel malveillant connu qui tente de subtiliser des informations à caractère confidentiel depuis l’ordinateur compromis. Pour plus d’informations, consulter l’adresse suivante: https://en.wikipedia.org/wiki/Zeus_(malware)

 

La bonne réponse est: Attaque Drown. Cette attaque permet à un espion électronique d’intercepter et de décrypter les communications entre un utilisateur et un site web https censé être sûr, dans le cas où le serveur TLS utilisé par le site supporte le protocole obsolète SSLv2, un prédécesseur du protocole TLS. L’attaque DROWN est un excellent rappel des dangers de la cryptographie obsolète. Aucun serveur TLS ne devrait utiliser le protocole SSL, quelle que soit la version.

Pour de plus amples informations, voir:

https://drownattack.com/

ainsi que la note d’information de l’ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack



Il est fréquemment utilisé, par exemple, sur les sites web de commerce électronique ou dans les services bancaires en ligne, pour permettre des communications sûres entre les ordinateurs de l’utilisateur et du fournisseur de service. Le protocole TLS est habituellement appliqué lorsque vous voyez https au lieu de http sur un site web.

En 2016, des brèches à la sécurité ont été constatées par des chercheurs dans plusieurs exécutions du protocole TLS; selon les chercheurs, 33 % des serveurs TLS accessibles sur Internet étaient vulnérables à ce type d’attaque. 

Quel nom donne-t-on à ce type d’attaque du protocole TLS?