Pour favoriser le maintien de l'accès aux sites web essentiels durant la crise, des évolutions prévues dans les navigateurs sont remises à plus tard.
Actualités TLS
Cybersécurité : Google met les mots de passe et TLS au menu de fin d’année
Google étend la disponibilité de son outil Password Checkup et prépare la fin du support des anciennes versions de TLS dans Chrome.
Android 10 : ce que Google promet aux entreprises
Avec Android 10, Google promet de renforcer la sécurité des terminaux d'entreprise et d'en faciliter l'administration.
Cybersécurité : comment les ouragans déclenchent aussi des cyberattaques
Proofpoint dévoile que lors de l’ouragan Michael, ce mois d'octobre, les cybercriminels ont utilisé des leurres pour obtenir des lettres de créance d'entreprise plutôt que de détourner directement de l'argent. Silicon.fr publie les déc ...
Comment Netflix gère la sécurité de ses conteneurs
Implémenter une sécurité en profondeur dans une architecture en microservices est tout sauf une sinécure. Car le déploiement de certificats TLS associés aux conteneurs se heurte à des difficultés techniques. Netflix explique comment il ...
Le torchon brûle encore entre Google et Symantec sur les certificats
Google a des doutes sur la sécurité des certificats émis par Symantec ces dernières années. Il a décidé de prendre des mesures.
Chiffrement : Symantec a émis des certificats HTTPS illégitimes
Une nouvelle fois, Symantec est soupçonné d’avoir pris des libertés avec les règles d’émission de certificats TLS.
Chiffrement : comment la messagerie Signal échappe à la censure
L'application Signal adopte le « domain fronting ». Noyée dans la masse, la messagerie chiffrée ne peut être distinguée d'autres services par les censeurs. Leur seule option : bloquer Internet tout entier, selon Signal.
Google veut rendre obligatoire Certificate Transparency en 2017
Les autorités de certification devront se soumettre à un système communautaire d'audit de certificats. À défaut, les sites de leurs clients seront jugés non fiables par Google Chrome.
Bientôt un Bitcoin pour rémunérer les attaques DDoS ?
Deux chercheurs imaginent une nouvelle monnaie électronique permettant de rémunérer les participants à une attaque par déni de service (DDoS). En exploitant une particularité de TLS 1.2.
OVH propose gratuitement les certificats SSL de Let’s Encrypt
Partenaire de Let’s Encrypt, OVH vient de lancer officiellement son offre gratuite de certificats SSL pour les clients hébergement web.
Docker Engine devient nativement orchestrateur
Docker a présenté des évolutions dans son moteur avec l’intégration de Swarm, outil d’orchestration et une plus grande sécurité des communications entre conteneurs.
L’ordinateur quantique va rendre tout le chiffrement obsolète
Pour l’Académie des technologies US, la plupart des algorithmes de chiffrement ne résisteront pas aux assauts des futurs ordinateurs quantiques. Il faut préparer dès aujourd’hui de nouveaux standards.
Drown : la faille qui met en danger un tiers des serveurs HTTPS
Le support d’un protocole dépassé – SSL v2, remplacé… en 1996 – suffit à rendre poreux une large part des serveurs HTTPS. Les sessions chiffrées, y compris par les protocoles les plus récents, sont exposées.
AWS livre des certificats SSL/TLS gratuitement
AWS a publié la mise à jour de Certificate Manager qui a la capacité de fournir des certificats gratuits. Une bonne nouvelle pour les sites qui s’appuieront sur des certificats signés Amazon.
Le chiffrement par TLS victime de… la paresse
Une nouvelle fois, les chercheurs de l’Inria mettent au jour des failles dans les principaux protocoles de sécurité d’Internet. En cause : une certaine paresse à éliminer MD5, un algorithme utilisé dans le chiffrement.
L’Inria et Microsoft publient une implémentation de référence de TLS
L’Inria et Microsoft versent sur GitHub le code de leur implémentation de référence de TLS, MiTLS. Un projet au long cours qui a permis, au passage, de découvrir des failles comme LogJam et Freak.
Failles NTP : la machine à détraquer le temps menace aussi le chiffrement
Retour vers le futur, la suite sur Internet ? Des chercheurs mettent en évidence les failles de NTP, le protocole de synchronisation des horloges d’Internet. Vulnérabilités qui ouvrent la porte à des attaques par DDoS, mais aussi à la ...
Chiffrement : tous les navigateurs vont abandonner l’algorithme RC4
Les futures versions de Chrome, Internet Explorer, Firefox et Edge vont refuser les sessions chiffrées exploitant l’algorithme RC4, dont la vulnérabilité a été largement démontrée.
Le chiffrement testé pour survivre à l’informatique quantique
Microsoft Research teste une version du protocole de sécurisation des échanges sur Internet capable de résister, en théorie, aux attaques à venir d'un ordinateur quantique.
Sécurité : Amazon livre s2n, une implémentation Open Source du TLS
s2n est un projet Open Source visant à proposer une implémentation allégée du protocole de sécurité TLS. Une offre signée Amazon, qui devrait l’intégrer dans ses services Cloud, en lieu et place d’OpenSSL.
E. Thomé, Inria : « Les clefs de chiffrement de 768 bits ne suffisent plus »
Un des chercheurs à l’origine de la découverte de la faille LogJam, logée dans les systèmes de chiffrement, détaille les implications de ses travaux. Où il apparaît clairement que les clefs de moins de 768 bits sont aisément à portée ...
LogJam : nouvelle faille dans le chiffrement des sites Web
Des chercheurs, dont certains issus de l’Inria, ont découvert une nouvelle faille dans les protocoles de chiffrement SSL et TLS. Une faiblesse qui, comme Freak, découle des restrictions à l’export un temps imposées par les Etats-Unis.
La CNIL encadre le déchiffrement des flux HTTPS
La CNIL tolère le déchiffrement, par les entreprises, des communications de leur personnel, moyennant certaines considérations techniques et juridiques.
Après SSL 3.0, la faille Poodle s’étend à TLS
La vulnérabilité Poodle qui a touché il y a quelques semaines le protocole de chiffrement SSL 3.0, affecte également certaines versions de TLS
Microsoft corrige une vieille faille et un bug critique dans SSL/TLS
A l’occasion de son Patch Tuesday, Microsoft a corrigé une faille découverte par IBM et présente depuis 19 ans dans Windows. Par ailleurs, il corrige un bug critique dans TLS/SSL.
Nogofail : Google traque les failles de SSL et TLS
Google publie en Open Source Nogofail pour débusquer les vulnérabilités de SSL et TLS dans les applications et terminaux.
5 questions pour comprendre le déchiffrement SSL
C’est un peu le second effet kiss cool des révélations Snowden. Les écoutes de la NSA poussent les géants du Web à généraliser le chiffrement. Ce qui remet sous les feux de l’actualité la technique du déchiffrement SSL, consistant à dé ...
Faille critique, mais corrigée dans la libraire de cryptage GnuTLS
Un chercheur a trouvé une nouvelle faille critique dans GnuTLS, une bibliothèque de chiffrement Open Source. La vulnérabilité a été corrigée.
Faille : SSL (ou TLS) est souvent mal installé -affirme Qualys
Le protocole de sécurité TLS, plus connu sous la dénomination SSL, est fragilisé par des implémentations incorrectes. Précisions avec Philippe Courtot, fondateur de Qualys