C'est une bombe, c'est un massacre, c'est une catastrophe, mais «chuuuuuut», parce qu'on est pas prêt là, déconnez pas

Des chercheurs ont réussi à craquer SSL/TLS, et c'est LE protocole utilisé sur internet pour garantir les connexions HTTPS que vous utilisez quand, par exemple, vous vous connectez au site de votre banque, à paypal, à gmail, et à peu près n'importe quel truc sérieux qui demande un mot de passe.

Mais, nous rassure-t on, la faille est connue, était dans TLS1.0, et n'existe plus en TLS1.1 ni 1.2. En plus, il faut être «man in the middle», c'est à dire se trouver entre vous et le site que vous interrogez, et sur internet personne ne peut recevoir tous les paquets (presque chaque paquet prend au moins un bout de chemin différent)... Ouf !

ERREUR !

Premièrement, Firefox et Chrome n'ont pas intégré TLS1.1 ou 1.2; et coté sites web, c'est la même chose, la plupart n'ont pas prévu de passer à TLS1.1 ou 1.2.

Deuxièmement, nombreux sont ceux qui peuvent être «man in the middle» : Quelqu'un chez votre FAI, quelqu'un chez le FAI du site voulu.

Et le pire du pire, c'est pour ceux qui croient mieux brouiller les pistes en utilisant un proxy : le mec au milieu, ça peut être celui qui gère le proxy, et je suis pas certain que vous puissiez l'attaquer puisque si vous passez pas lui, c'est bien pour pouvoir jouir d'une «possible dénégation». Des proxy, y'en a aussi dans pleins d'entreprises. Qu'est-ce qui empêche un employé admin des proxy de se garder quelques traces réseaux à décrypter à la maison ? Rien, mais dans 5 ans, y'a de grandes chances que le mot de passe pour se connecter au compte bancaire d'untel n'ait pas changé....

Bref, les connections HTTPS, c'est has-been (pour l'instant)