BREACH
Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext
Avertissement connexe
« Le serveur est vulnérable aux attaques de type BREACH. Désactivez la compression HTTP pour les requêtes inter-sites, ou lorsque l’en-tête est absent d'une requête. Contrairement à la vulnérabilité CRIME, la désactivation de la compression TLS ne constitue pas une solution. BREACH exploite la compression dans le protocole HTTP sous-jacent.
Problème
La vulnérabilité BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) cible la compression HTTP. L’attaquant manipule l’utilisation de la compression au niveau HTTP pour extraire des informations parmi les données protégées à l’aide de HTTPS. Ces informations peuvent être des adresses e-mail, des jetons de sécurité et d’autres chaînes en texte brut.
Fondamentalement, l’attaquant force votre navigateur à se connecter à un site Web pour lequel TLS est activé. L’attaquant se sert d’une attaque MITM (man-in-the-middle-attack ou attaque d’intercepteur) pour surveiller le trafic entre vous et le serveur de votre site.
Solution
Serveur web
Désactivez la compression des pages comprenant des informations d’identification personnelle (Personally Identifiable Information, PII).
Navigateur Web
Empêchez le navigateur d’inviter l’utilisation de la compression HTTP.
Applications Web
Envisagez de passer au chiffrement AES-128.
Supprimer la prise en charge de la compression pour le contenu dynamique.
Séparez les secrets de la saisie utilisateur.
Privilégiez les demandes à limitation de taux de réponses.