Sweet32

Erreur connexe

"This server is vulnerable to a SWEET32 attack. Make sure the weak ciphers (DES and 3DES) are disabled on the server and use AES" (Ce serveur est vulnérable aux attaques SWEET32. Assurez-vous d’avoir désactivé les chiffrements faibles (DES et 3DES) sur le serveur et d’utiliser AES).

Problème

L’attaque Sweet32 Birthday, affecte le chiffrement DES triple. Bien que l’équipe OpenSSL ait évalué la vulnérabilité du chiffrement DES triple comme étant faible, elle affirme que le chiffrement “DES triple doit désormais être considéré aussi vulnérable que le chiffrement RC4.” Les experts en sécurité de DigiCert ainsi que d’autres pros de la sécurité recommandent de désactiver tout chiffrement DES triple sur vos serveurs.

Ces chiffrements DES (et DES triple) utilisent des blocs de 64 bits seulement. Cela permet à un attaquant d’exécuter JavaScript dans un navigateur et d’envoyer de gros volumes de trafic au cours d’une même connexion TLS, provoquant ainsi une collision. Lorsqu’une telle collision se produit, l’attaquant est en mesure de récupérer des informations à partir d’un cookie de session.

Le chiffrement DES triple est pris en charge par une vaste majorité de serveurs HTTPS et tous les principaux navigateurs web, soit environ 600 des sites web les plus visités. Heureusement, la plupart des navigateurs optent pour l’utilisation de l’algorithme AES au lieu du chiffrement DES triple lors d’une connexion HTTPS.

Solution

Utilisez l’une des solutions suivantes :

  • Désactivez le chiffrement DES triple sur les serveurs qui le prennent encore en charge.
  • Procédez à la mise à niveau des anciens serveurs qui ne prennent pas en charge les chiffrements plus forts que DES ou RC4.