Attaque par repli

Un article de Wikipédia, l'encyclopédie libre.

Une attaque par repli[1],[2], attaque par rétrogradation[3],[4],[5],[6] ou négociation à la baisse[7] (en anglais : downgrade attack) est une attaque informatique consistant à passer d'un fonctionnement sécurisé à un fonctionnement moins sécurisé.

Par exemple, cette attaque a été utilisée grâce à une faille dans OpenSSL permettant à l'attaquant de négocier l'utilisation d'une version obsolète du protocole réseau TLS, induisant ainsi un chiffrement faible entre le client et le serveur[8].

La suppression de la rétrocompatibilité (par exemple, le serveur empêchant une connexion non chiffrée ou chiffrée de manière obsolète) est souvent le seul moyen d'empêcher cette attaque ou alors en empêchant le client de se connecter à une version HTTP avec une liste pré-chargée comme le permet par exemple HTTPS Everywhere.

Références[modifier | modifier le code]

  1. Stéphane Bortzmeyer, Cyberstructure : L’Internet, un espace politique, C & F Éditions, , 270 p. (ISBN 9782915825886, lire en ligne) :

    « Ensuite, dans certains cas, un utilisateur peut être incité à utiliser la version en clair (« attaque par repli », où l'attaquant va essayer de faire en sorte que sa victime utilise une sécurité plus faible que la sécurité maximale). »

  2. Stéphane Bortzmeyer, « RFC 7507 : TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks » [PDF], sur bortzmeyer.org, (consulté le 23 décembre 2019) : « C’est ce qu’on nomme une attaque par repli (« downgrade attack ») et c’est une plaie classique des protocoles cryptographiques […] ».
  3. Dominique Filippone, « Une faille dans WPA 3 rend vulnérable les réseaux WiFi domestiques », Le Monde Informatique, (consulté le 23 décembre 2019).
  4. Cynthia Brumfield (trad. Jean Elyan), « L'EFF pousse à un cryptage global de l'Internet », sur Réseaux & Télécoms, (consulté le 23 décembre 2019).
  5. « Des faiblesses détectées dans le protocole WPA3 », sur cyberveille-sante.gouv.fr, (consulté le 23 février 2019).
  6. Gilbert Kallenborn, « Ce nouveau standard de chiffrement va permettre de blinder le Web », sur 01Net, (consulté le 23 décembre 2019).
  7. Olivier Levillain, Agence nationale de la sécurité des systèmes d'information, « SSL/TLS, 3 ans plus tard » [PDF], (consulté le 23 décembre 2019) : « De nombreuses vulnérabilités sont connues sur SSLv2 : négociation à la baisse (downgrade attack) […] », p. 231.
  8. Sébastien Gavois, « OpenSSL : nouvelle mise à jour pour une faille critique », Next Inpact,‎ (lire en ligne, consulté le 14 septembre 2018)