Bouh... encore un truc qui pue. Des chercheurs en sécurité sont parvenus à déterminer quelles pages un internaute visite sur un site en examinant son trafic HTTPS avec des outils statistiques.
Pour cela, ils analysent les pages du site et comparent avec le trafic HTTPS. Ils sont parvenus à déterminer les pages consultées avec une précision de 89% et sans avoir à déchiffrer le trafic HTTPS (!).
La solution ? Bricoler HTTPS pour faire du padding (c'est à dire remplir les réponses HTTP avec des données bidon pour brouiller les analyses).
(Le whitepaper est là:
http://arxiv.org/abs/1403.0297)
Corollaire: La NSA étant le plus gros employeur de mathématiciens au monde, vous pouvez vous douter qu'ils sont déjà capables de savoir quelles pages vous avez consultées sur un site, même sans être capable de déchiffrer votre trafic HTTPS.
(
Permalink)