Un rapport de la cellule de recherche d’Imperva, dédié à la protection des données des entreprises et des applications critiques sur site et dans le Cloud, révèle de nouvelles vulnérabilités d’attaque sur le protocole Transport Layer Security (TLS/SSL), actuellement utilisé pour protéger 30 % des transactions SSL. L’équipe de recherche a découvert qu’utiliser l’algorithme de chiffrement RC4, « bien connu pour son piètre cryptage » selon elle, exposait des milliards de données sensibles d’utilisateurs.
La nouvelle attaque peut provoquer une fuite de données protégées par SSL de l’ordre de 1 pour 16 millions de cryptages RC4, soit des milliers de messages sécurisés potentiellement compromis chaque jour. L’enquête d’Imperva démontre toute l’importance de cette fuite, qui permet de mener des attaques par force brute plus rapidement sur des mots de passe, des numéros de carte de crédit, et des cookies.
Imperva encourage les administrateurs à désactiver RC4 dans leur configuration SSL.
Le rapport complet « Attaquer des SSL en utilisant RC4 »