Le SSL, réputé inviolable, est cassé par des… ingénieurs

Après la gigantesque attaque de pirates contre Mastercard et Visa (8 millions de comptes « visités »), c’est au tour du système de protection des transactions sur le Web de se faire mettre à bas. Le SSL (Secure Socket Layer), utilisé par tous les sites de commerce en ligne était jusqu’à aujourd’hui réputé inviolable.

Ce sont des chercheurs de l’Ecole polytechnique fédérale de Lausanne (EPFL, Suisse) qui ont trouvé la faille. Et leur trouvaille est plutôt inquiétante: ils ont démontré qu’il était possible de reconnaître en moins d’une heure le mot de passe utilisé par un internaute pour se connecter à un service de vente commercial ou à son compte bancaire en ligne. Interception du mot de passe « Concrètement, explique Serge Vaudenay, directeur du Laboratoire de sécurité et de cryptographie de l’EPFL, nous avons développé un programme qui nous a permis d’intercepter le mot de passe d’une personne utilisant un logiciel de communication sécurisé par SSL ». Les scientifiques se sont ensuite connectés au logiciel en se faisant passer pour l’utilisateur. Ils auraient ainsi pu lire ses mails ou effectuer des transactions financières en son nom. Faut-il pour autant arrêter tout achat sur Internet? On sait que la sécurité des transactions constitue le nerf de la guerre. De plus, cette nouvelle arrive au moment où le commerce électronique explose un peu partout. Heureusement, ces scientifiques ne sont pas des « hackers » mal intentionnés. Le directeur du laboratoire a ainsi précisé que l’école avait transmis le résultat de ses recherches aux personnes chargées de mettre à jour le SSL et que la nouvelle version du système (0.9.7a) protège désormais contre ce type d’attaque. Jusqu’à quand?