Deux informaticiens Belges viennent d’alerter Google, Microsoft et les participants de la Black Hat conférence d’un problème découvert permettant de piéger les sites Internet et leur mode sécurisé, le HTTPS. Pour Tom Van Goethem et Mathy Vanhoef, deux étudiants de l’université de Leuven, la technique exploitée est baptisée HTTP Encrypted Information can be Stolen Through TCP-Windows (HEIST).
L’idée malveillante est d’intercepter les données transmisses, passant par les protocoles de sécurité tels que SSL ou TLS. Bilan, le HTTPS (connexion sécurisé) ne sert plus à rien si l’interception du trafic est orchestré, dans la foulée, par un fichier JavaScript caché sur une page web dédiée, ou exploitée à cet effet. Une publicité diffusée par une régie extérieure, qui elle n’est pas sécurisée, peut permettre cette infiltration.
La présentation des deux doctorants en informatique est disponible ICI. Pour vous protéger de ce genre d’indiscrétion, désactivez les ‘third-party cookies’ dans les paramètres de votre navigateur. Je vais être clair, pas pratique, cela va perturber le bon fonctionnement des sites en HTTPS. Mais en attendant une correction des géants de l’Internet, pas d’autres solutions.
Damien Bancal, expert reconnu en cybersécurité
Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles.
Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe.
Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Un commentaire
Bonjour Damien,
L’utilisation du module No Script sur Firefox peut être intéressante également.