Sebsauvage, le 06/03/2014 à 06:46
Bouh... encore un truc qui pue.  Des chercheurs en sécurité sont parvenus à déterminer quelles pages un internaute visite sur un site en examinant son trafic HTTPS avec des outils statistiques.
Pour cela, ils analysent les pages du site et comparent avec le trafic HTTPS. Ils sont parvenus à déterminer les pages consultées avec une précision de 89% et sans avoir à déchiffrer le trafic HTTPS (!).
La solution ? Bricoler HTTPS pour faire du padding (c'est à dire remplir les réponses HTTP avec des données bidon pour brouiller les analyses).
(Le whitepaper est là: http://arxiv.org/abs/1403.0297)

Corollaire: La NSA étant le plus gros employeur de mathématiciens au monde, vous pouvez vous douter qu'ils sont déjà capables de savoir quelles pages vous avez consultées sur un site, même sans être capable de déchiffrer votre trafic HTTPS.
(Permalink)

Memiks, le 06/03/2014 à 10:14
Après un site "sensible" ne devrait être ouvert à ses clients même en HTTPS que via login/mot de passe...

et c'est pas forcément faisable pour une banque ou autre...
du coup c'est aussi pour cela que j'ai eu l'idée du GPG pour remplacer HTTPS.

Par contre il faut vraiment que je teste une implémentation même bardé de bug et de trou de sécurité, le code sera GPL les experts feront ce qu'il faut...

http://sebsauvage.net/paste/?3b0e29b95f7a3b01#lKn5Db6+znQlj7QPmwyuDo2/2NbbsOh46CzoycvA3ds=
(Permalink)

Strak, le 06/03/2014 à 16:59
Je cite Sebsauvage: "Des chercheurs en sécurité sont parvenus à déterminer quelles pages un internaute visite sur un site en examinant son trafic HTTPS avec des outils statistiques.
Pour cela, ils analysent les pages du site et comparent avec le trafic HTTPS. Ils sont parvenus à déterminer les pages consultées avec une précision de 89% et sans avoir à déchiffrer le trafic HTTPS."

Ça craint à mort! Malheureusement c'est à peine étonnant.
via sebsauvage.net
(Permalink)

nW44b, le 07/03/2014 à 20:18
Aïe !
(Permalink)