Les chercheurs Nate Lawson et Taylor Nelson prétendent
avoir découvert une faille de sécurité qui affecte de
nombreux systèmes d’authentification tels que Oauth
ou encore OpenID. Ces systèmes sont très fortement
utilisés sur des sites tels que Twitter, …
Les cryptographes sont informés des attaques dites
« temporelles » depuis de nombreuses années mais
n’ont jamais pris la menace très au sérieux car elle
semblait trop difficile à mettre en place sur un réseau
(problèmes de latence, etc.. ) puisque cette attaque est
fondée sur le temps.
L’article présente un cas intéressant : certains
systèmes vérifient que le login / password correspond à
chaque nouvelle insertion de caractère.
Dès lors, les chercheurs en arrivent à la conclusion
qu’un mauvais essai de login arrive plus vite qu’un login
où le premier caractère du login est bon. (Le système
renvoie un mauvais login dès qu’il détecte un mauvais
caractère).
Grâce à ce facteur de « temps », il est possible de deviner
un mot de passe et ainsi contourner les systèmes
d’authentification.
Nate et Taylor souhaitent discuter de ces attaques à
la Black Hat conférence qui se tiendra fin août à Las Vegas.
D’autres articles ou documentations nous en diront
certainement plus sur l’exploitation d’attaque de type
« temporelle ».
News rédigés par Paul AMAR.
Aucun commentaire:
Enregistrer un commentaire