BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

Avertissement connexe

"The server is vulnerable to a BREACH attack. Disable HTTP compression for cross-site requests, or when the header is not present in a request. Unlike a Crime vulnerability, turning off TLS compression is not a solution. BREACH exploits the compression in the underlying HTTP protocol." (Le serveur est vulnérable aux attaques BREACH. Veuillez désactiver la compression HTTP des demandes intersites ou lorsque la demande ne comporte pas d’en-tête. Contrairement aux vulnérabilités CRIME, la désactivation de la compression TLS ne résout pas le problème. BREACH exploite la compression dans le protocole HTTP sous-jacent).

Problème

La vulnérabilité BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) cible la compression HTTP. L’attaquant manipule l’utilisation de la compression au niveau HTTP pour extraire des informations parmi les données protégées à l’aide de HTTPS, telles que des adresses électroniques, des jetons de sécurité et d’autres chaînes en texte brut.

Fondamentalement, l’attaquant force votre navigateur à se connecter à un site Web pour lequel TLS est activé. L’attaquant se sert d’une attaque MITM (man-in-the-middle-attack ou attaque d’intercepteur) pour surveiller le trafic entre vous et le serveur de votre site.

Solution

  • Serveur Web
    Désactivez la compression des pages comprenant des informations d’identification personnelle (Personally Identifiable Information, PII).
  • Navigateur Web
    Empêchez le navigateur d’inviter l’utilisation de la compression HTTP.
  • Applications Web
    • Envisagez de passer au chiffrement AES128.
    • Supprimer la prise en charge de la compression pour le contenu dynamique.
    • Réduisez les secrets dans les associés de réponse.
    • Privilégiez les demandes à limitation de taux de réponses.