BEAST — Attaque sur TLS/CBC

TLS Historique

Contexte

BEAST (2011) exploitait l'usage d'IV prévisibles en TLS 1.0 avec les chiffrements par blocs en mode CBC : un attaquant en position MITM pouvait déchiffrer des données chiffrées (ex: cookies) octet par octet via une attaque à clair choisi.

Mécanisme

En TLS 1.0, l'IV d'un enregistrement était le dernier bloc chiffré du précédent — donc prévisible. En contrôlant une partie du plaintext (via JavaScript), l'attaquant alignait l'octet secret et confirmait des hypothèses bloc par bloc.

Mitigation

Corrigé par TLS 1.1+ (IV explicite aléatoire par enregistrement), le record splitting 1/n-1, et l'usage de chiffrements de flux (RC4 à l'époque, désormais ChaCha20) ou d'AEAD. Aujourd'hui : utiliser TLS 1.2/1.3 avec AES-GCM.