CRIME
CRIME est une attaque informatique qui exploite la compression du protocole TLS pour voler des informations sensibles telles que des cookies de session. C’est une attaque de type “man-in-the-middle” où l’attaquant intercepte les communications entre deux parties et les manipule pour extraire les informations sensibles.
L’attaque fonctionne en poussant l’utilisateur à envoyer des requêtes spécialement conçues, qui incluent du texte secret de la victime. L’attaquant mesure alors la taille de la réponse de la victime, qui inclut à la fois le texte secret et une information complètement publique telle qu’un en-tête HTTP. En utilisant la compression TLS, l’attaquant peut déterminer la partie du texte secret qui a été envoyée sur le réseau.
Pour se protéger contre cette attaque, il est important de désactiver la compression TLS et de s’assurer que les cookies de session ne sont pas envoyés avec les requêtes HTTP normales. Les développeurs doivent également être conscients de ces risques et coder leur application de manière à minimiser les chances de vulnérabilités.