FalseCONNECT, une nouvelle faille dans le HTTPS

Lorsqu'un petit cadenas indiquant la présente de HTTP sécurisé (HTTPS) apparait dans Safari, on a généralement le sentiment que la connexion est sécurisée. Or, on l'a vu récemment, il existe malheureusement encore des failles dans le processus. La dernière s'intitule FalseCONNECT et touche les réseaux qui utilisent des proxys. Ces serveurs, très courants en entreprises, prennent en charge les requêtes des clients, qui n'ont pas un accès direct au réseau. L'auteur de la découverte est parvenu a intercepter les entêtes HTTP CONNECT (qui ne sont pas chiffrées) et à rediriger ensuite le client vers un autre serveur, lui faisant croire que son authentification a échoué, et l'invitant à entrer de nouveaux ses identifiants. Le bug toucherait la plupart des OS du marché (Linux, Cisco, Google, HP, IBM, Juniper, Mozilla, Nokia, OpenBSD, SAP, Sony... et Apple), même s'il s'agit là d'une faille de type man-in-the-middle qui requiert que la personne puisse placer son serveur entre le client et le proxy, par exemple. [Infos]