BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

Avertissement connexe

"The server is vulnerable to a BREACH attack. Disable HTTP compression for cross-site requests, or when the header is not present in a request. Unlike a Crime vulnerability, turning off TLS compression is not a solution. BREACH exploits the compression in the underlying HTTP protocol." (Le serveur est vulnérable aux attaques BREACH. Veuillez désactiver la compression HTTP des demandes intersites ou lorsque la demande ne comporte pas d’en-tête. Contrairement aux vulnérabilités CRIME, la désactivation de la compression TLS ne résout pas le problème. BREACH exploite la compression dans le protocole HTTP sous-jacent).

Problème

La vulnérabilité BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) cible la compression HTTP. L’attaquant manipule l’utilisation de la compression au niveau HTTP pour extraire des informations parmi les données protégées à l’aide de HTTPS, telles que des adresses électroniques, des jetons de sécurité et d’autres chaînes en texte brut.

Fondamentalement, l’attaquant force votre navigateur à se connecter à un site Web pour lequel TLS est activé. L’attaquant se sert d’une attaque MITM (man-in-the-middle-attack ou attaque d’intercepteur) pour surveiller le trafic entre vous et le serveur de votre site.

Solution

  • Serveur Web
    Désactivez la compression des pages comprenant des informations d’identification personnelle (Personally Identifiable Information, PII).
  • Navigateur Web
    Empêchez le navigateur d’inviter l’utilisation de la compression HTTP.
  • Applications Web
    • Envisagez de passer au chiffrement AES128.
    • Supprimer la prise en charge de la compression pour le contenu dynamique.
    • Réduisez les secrets dans les associés de réponse.
    • Privilégiez les demandes à limitation de taux de réponses.

À propos de

DigiCert est le premier fournisseur mondial de certificats numériques à garantie élevée. Il propose des certificats SSL sûrs, des déploiements PKI managés et privés et des certificats pour appareils pour le marché émergent de l’Internet des objets. Depuis notre création il y a près de quinze ans, notre moteur a toujours été l’idée de trouver chaque jour de meilleures solutions. De meilleures solutions pour permettre les authentifications sur Internet. De meilleures solutions pour adapter nos services aux besoins de nos clients. Désormais, le talent et l’expérience de Symantec viennent suppléer notre héritage fait d’innovation pour trouver toujours de meilleures solutions qui permettent de faire avancer toute une industrie et de renforcer la confiance envers les identités et les interactions dans le numérique.

©2019 DigiCert, Inc. Tous droits réservés. DigiCert, et son logo sont des marques déposées de DigiCert, Inc. Symantec et Norton, ainsi que leurs logos respectifs, sont des marques déposées utilisées sous licence de Symantec Corporation. Les autres noms sont potentiellement des marques déposées de leurs propriétaires respectifs.