Au lendemain des révélations de deux hackers sur les vulnérabilités du protocole TLS en version 1.0, Google met à jour son navigateur Chrome.
Les deux spécialistes en sécurité, Thai Duong et Juliano Rizzo, ont récemment affirmé avoir découvert le moyen de compromettre le protocole de sécurité TLS notamment utilisé par les sites e-commerce ou les banques en ligne pour chiffrer les connexions des utilisateurs. Baptisé BEAST (Browser Exploit Against SSL/TLS), ce hack s'appuie sur un code JavaScript couplé à un sniffeur de réseau capable de déchiffrer un cookie sécurisé. Notons que les versions 1.1 et 1.2 du protocole ne sont pas concernées.
Plus précisément, les deux chercheurs travailleraient avec les différents éditeurs de navigateur depuis...le mois de mai et sur le groupe officiel de Chromium, les développeurs se seraient penchés sur le problème dès le mois de juin. La dernière version de Chrome réservée aux développeurs disposerait d'ailleurs déjà d'un correctif.
Sur le site Hacker News, Adam Langley, chercheur en sécurité chez Google, explique avoir pris connaissance de ce hack mais précise : « il n'y a aucun raison que les gens s'inquiètent ». Opera Software aurait également développé un correctif mais ne l'a pas encore implémenté au sein de la version finale de son navigateur ; ce dernier engendrait en effet des incompatibilités avec certains site web. La discussion semble avoir été engagée sur les forums de Mozillazine. Reste à savoir si les autres éditeurs proposeront également une mise à jour.