Les attaques touchant à #TLS étant très à la mode, une de plus va sans doute passer inaperçue. Celle-ci se nomme « triple poignée de mains » et est une faille du protocole, pas d’une mise en œuuvre particulière (c’est donc très différent de la faille Apple / GnuTLS). A priori, si j’ai tout compris, pas besoin d’être homme du milieu, uns erveur TLS peut l’exploiter, en se faisant ensuite passer pour un client auprès d’autres serveurs. Cela ne marche apparemment que si on authentifie le client (c’est très rare dans TLS) et si les deux serveurs acceptent le même certificat client.
Le site Web des chercheurs qui ont identifié la faille : ▻https://secure-resumption.com
Une bonne explication simplifiée : ▻https://www.imperialviolet.org/2014/03/03/triplehandshake.html