Attaque par repli

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Une attaque par repli^[1]^,^[2], attaque par rétrogradation^[3]^,^[4]^,^[5]^,^[6] ou négociation à la baisse^[7] (en anglais : downgrade attack) est une attaque informatique consistant à passer d'un fonctionnement sécurisé à un fonctionnement moins sécurisé.

Par exemple, cette attaque a été utilisée grâce à une faille dans OpenSSL permettant à l'attaquant de négocier l'utilisation d'une version obsolète du protocole réseau TLS, induisant ainsi un chiffrement faible entre le client et le serveur^[8].

La suppression de la rétrocompatibilité (par exemple, le serveur empêchant une connexion non chiffrée ou chiffrée de manière obsolète) est souvent le seul moyen d'empêcher cette attaque ou alors en empêchant le client de se connecter à une version HTTP avec une liste pré-chargée comme le permet par exemple HTTPS Everywhere.

Références modifier

↑ Stéphane Bortzmeyer, Cyberstructure : L’Internet, un espace politique, C & F Éditions, 2019, 270 p. (ISBN 978-2-915825-88-6, lire en ligne)

« Ensuite, dans certains cas, un utilisateur peut être incité à utiliser la version en clair (« attaque par repli », où l'attaquant va essayer de faire en sorte que sa victime utilise une sécurité plus faible que la sécurité maximale). »
↑ Stéphane Bortzmeyer, « RFC 7507 : TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks » [PDF], sur bortzmeyer.org, 25 avril 2015 (consulté le 23 décembre 2019) : « C’est ce qu’on nomme une attaque par repli (« downgrade attack ») et c’est une plaie classique des protocoles cryptographiques […] ».
↑ Dominique Filippone, « Une faille dans WPA 3 rend vulnérable les réseaux WiFi domestiques », Le Monde Informatique, 12 avril 2019 (consulté le 23 décembre 2019).
↑ Cynthia Brumfield (trad. Jean Elyan), « L'EFF pousse à un cryptage global de l'Internet », sur Réseaux & Télécoms, 1^er février 2019 (consulté le 23 décembre 2019).
↑ « Des faiblesses détectées dans le protocole WPA3 », sur cyberveille-sante.gouv.fr, 12 avril 2019 (consulté le 23 février 2019).
↑ Gilbert Kallenborn, « Ce nouveau standard de chiffrement va permettre de blinder le Web », sur 01Net, 26 mars 2018 (consulté le 23 décembre 2019).
↑ Olivier Levillain, Agence nationale de la sécurité des systèmes d'information, « SSL/TLS, 3 ans plus tard » [PDF], juin 2015 (consulté le 23 décembre 2019) : « De nombreuses vulnérabilités sont connues sur SSLv2 : négociation à la baisse (downgrade attack) […] », p. 231.
↑ Sébastien Gavois, « OpenSSL : nouvelle mise à jour pour une faille critique », Next Inpact,‎ 7 septembre 2015 (lire en ligne, consulté le 14 septembre 2018)

Portail de la sécurité informatique

[1] Stéphane Bortzmeyer, Cyberstructure : L’Internet, un espace politique, C & F Éditions, 2019, 270 p. (ISBN 978-2-915825-88-6, lire en ligne)

« Ensuite, dans certains cas, un utilisateur peut être incité à utiliser la version en clair (« attaque par repli », où l'attaquant va essayer de faire en sorte que sa victime utilise une sécurité plus faible que la sécurité maximale). »

[2] Stéphane Bortzmeyer, « RFC 7507 : TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks » [PDF], sur bortzmeyer.org, 25 avril 2015 (consulté le 23 décembre 2019) : « C’est ce qu’on nomme une attaque par repli (« downgrade attack ») et c’est une plaie classique des protocoles cryptographiques […] ».

[3] Dominique Filippone, « Une faille dans WPA 3 rend vulnérable les réseaux WiFi domestiques », Le Monde Informatique, 12 avril 2019 (consulté le 23 décembre 2019).

[4] Cynthia Brumfield (trad. Jean Elyan), « L'EFF pousse à un cryptage global de l'Internet », sur Réseaux & Télécoms, 1^er février 2019 (consulté le 23 décembre 2019).

[5] « Des faiblesses détectées dans le protocole WPA3 », sur cyberveille-sante.gouv.fr, 12 avril 2019 (consulté le 23 février 2019).

[6] Gilbert Kallenborn, « Ce nouveau standard de chiffrement va permettre de blinder le Web », sur 01Net, 26 mars 2018 (consulté le 23 décembre 2019).

[7] Olivier Levillain, Agence nationale de la sécurité des systèmes d'information, « SSL/TLS, 3 ans plus tard » [PDF], juin 2015 (consulté le 23 décembre 2019) : « De nombreuses vulnérabilités sont connues sur SSLv2 : négociation à la baisse (downgrade attack) […] », p. 231.

[8] Sébastien Gavois, « OpenSSL : nouvelle mise à jour pour une faille critique », Next Inpact,‎ 7 septembre 2015 (lire en ligne, consulté le 14 septembre 2018)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]