Attaque par repli

Une attaque par repli^[1]^,^[2], attaque par rétrogradation^[3]^,^[4]^,^[5]^,^[6] ou négociation à la baisse^[7] (en anglais : downgrade attack) est une attaque informatique consistant à passer d'un fonctionnement sécurisé à un fonctionnement moins sécurisé.

Cet article est une ébauche concernant la sécurité informatique.

Par exemple, cette attaque a été utilisée grâce à une faille dans OpenSSL permettant à l'attaquant de négocier l'utilisation d'une version obsolète du protocole réseau TLS, induisant ainsi un chiffrement faible entre le client et le serveur^[8].

La suppression de la rétrocompatibilité (par exemple, le serveur empêchant une connexion non chiffrée ou chiffrée de manière obsolète) est souvent le seul moyen d'empêcher cette attaque ou alors en empêchant le client de se connecter à une version HTTP avec une liste pré-chargée comme le permet par exemple HTTPS Everywhere.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Attaque par repli

Références

Wikiwand - on