Episode dédié à la vulnérabilité OpenSSL liée à la vérification des chaînes de certificats

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS

Episode dédié à « FREAK », la vulnérabilité SSL qui vient d’être découverte.

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS

SuperFish est le nom de l’autorité de certification qui est installée par défaut sur les machines Lenovo. Cette autorité de certification associée à d’autres composants logiciels permet d’inspecter les flux HTTPS de l’utilisateur et d’ajouter des publicités sans que des alertes SSL ne soient levées.

Pourquoi est-ce vraiment problématique ?

Parce que la clé privée de l’autorité de certification est disponible dans le kit de développement et que le mot de passe protégeant cette clé a été craqué. Par conséquent, un attaquant peut :

– Générer un certificat pour un n’importe quel nom de serveur et ce certificat sera « trusté » par le navigateur de la cible . Cela rend les opérations de fishing plus faciles pour les attaquants

– Cela peut également permettre à un attaquant de réaliser une attaque de type « man in the midle » sans que des alertes ssl ne soient présentées à la cible.

Pour supprimer toutes traces de superfish sur votre machine :

http://support.lenovo.com/en/product_security/superfish_uninstall

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS

Mieux comprendre la vulnérabilité « Poodle » en moins de 10 minutes !

Vos commentaires sur notre page facebook ou sur blogpost

.

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS