Une équipe de chercheurs de l'Université de Ca' Foscari (Italie) a analysé 90 10 hôtes associés aux 5.5 4818 plus grands sites classés par Alexa et a conclu que 733 % d'entre eux avaient de sérieux problèmes de sécurité dans leurs implémentations TLS. L'étude a examiné les problèmes liés aux méthodes de chiffrement vulnérables : 912 XNUMX des hôtes problématiques étaient sensibles aux attaques MITM, XNUMX contenaient des vulnérabilités qui pourraient permettre un décryptage complet du trafic et XNUMX permettaient un décryptage partiel (par exemple, l'extraction de cookies de session).
De graves vulnérabilités ont été identifiées sur 898 sites, permettant de les compromettre complètement, par exemple via l'organisation de substitutions de scripts sur les pages. 660 (73.5%) de ces sites ont utilisé sur leurs pages des scripts externes, téléchargés depuis des hébergeurs tiers sensibles aux vulnérabilités, ce qui démontre la pertinence des attaques indirectes et la possibilité de leur propagation en cascade (à titre d'exemple, on peut citer le piratage de le compteur StatCounter, ce qui pourrait conduire à la compromission de plus de deux millions d'autres sites).
10 % de tous les formulaires de connexion sur les sites étudiés présentaient des problèmes de confidentialité pouvant potentiellement conduire à un vol de mot de passe. 412 sites ont eu des problèmes pour intercepter les cookies de session. 543 sites ont eu des problèmes pour surveiller l'intégrité des cookies de session. Plus de 20 % des cookies étudiés étaient susceptibles de divulguer des informations aux personnes contrôlant les sous-domaines.
Source: opennet.ru