Attaque par repli
Une attaque par repli[1],[2], attaque par rétrogradation[3],[4],[5],[6] ou négociation à la baisse[7] (en anglais : downgrade attack) est une attaque informatique consistant à passer d'un fonctionnement sécurisé à un fonctionnement moins sécurisé.
Par exemple, cette attaque a été utilisée grâce à une faille dans OpenSSL permettant à l'attaquant de négocier l'utilisation d'une version obsolète du protocole réseau TLS, induisant ainsi un chiffrement faible entre le client et le serveur[8].
La suppression de la rétrocompatibilité (par exemple, le serveur empêchant une connexion non chiffrée ou chiffrée de manière obsolète) est souvent le seul moyen d'empêcher cette attaque ou alors en empêchant le client de se connecter à une version HTTP avec une liste pré-chargée comme le permet par exemple HTTPS Everywhere.
Références
modifier- Stéphane Bortzmeyer, Cyberstructure : L’Internet, un espace politique, C & F Éditions, , 270 p. (ISBN 978-2-915825-88-6, lire en ligne)
« Ensuite, dans certains cas, un utilisateur peut être incité à utiliser la version en clair (« attaque par repli », où l'attaquant va essayer de faire en sorte que sa victime utilise une sécurité plus faible que la sécurité maximale). »
- Stéphane Bortzmeyer, « RFC 7507 : TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks » [PDF], sur bortzmeyer.org, (consulté le ) : « C’est ce qu’on nomme une attaque par repli (« downgrade attack ») et c’est une plaie classique des protocoles cryptographiques […] ».
- Dominique Filippone, « Une faille dans WPA 3 rend vulnérable les réseaux WiFi domestiques », Le Monde Informatique, (consulté le ).
- Cynthia Brumfield (trad. Jean Elyan), « L'EFF pousse à un cryptage global de l'Internet », sur Réseaux & Télécoms, (consulté le ).
- « Des faiblesses détectées dans le protocole WPA3 », sur cyberveille-sante.gouv.fr, (consulté le ).
- Gilbert Kallenborn, « Ce nouveau standard de chiffrement va permettre de blinder le Web », sur 01Net, (consulté le ).
- Olivier Levillain, Agence nationale de la sécurité des systèmes d'information, « SSL/TLS, 3 ans plus tard » [PDF], (consulté le ) : « De nombreuses vulnérabilités sont connues sur SSLv2 : négociation à la baisse (downgrade attack) […] », p. 231.
- Sébastien Gavois, « OpenSSL : nouvelle mise à jour pour une faille critique », Next Inpact, (lire en ligne, consulté le )