Attaque par déclassement

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Une attaque par déclassement est une attaque informatique consistant à passer d'un fonctionnement sécurisé à un fonctionnement moins sécurisé.

Par exemple, cette attaque a été utilisée grâce à une faille dans OpenSSL permettant à l'attaquant de négocier l'utilisation d'une version obsolète du protocole réseau TLS, induisant ainsi un chiffrement faible entre le client et le serveur[1].

La suppression de la rétrocompatibilité (par exemple, le serveur empêchant une connexion non chiffrée ou chiffrée de manière obsolète) est souvent le seul moyen d'empêcher cette attaque ou alors en empêchant le client de se connecter à une version HTTP avec une liste pré-chargée comme le permet par exemple HTTPS Everywhere.


Références[modifier | modifier le code]

  1. Sébastien Gavois, « OpenSSL : nouvelle mise à jour pour une faille critique », Next Inpact,‎ (lire en ligne, consulté le 14 septembre 2018)