La vulnérabilité identifiée correspond à CVE-2013-3587 (BREACH). Il s’agit d’une vulnérabilité connue depuis 2013 qui concerne l’utilisation de la compression HTTP sur des contenus HTTPS, pouvant permettre, dans des conditions très spécifiques, une attaque par analyse de la taille des réponses chiffrées.
Le niveau de risque réel est faible, car l’exploitation de cette vulnérabilité nécessite un scénario d’attaque complexe, incluant une attaque de type Man-In-The-Middle, la capacité à injecter ou influencer des requêtes HTTP, et un grand nombre de requêtes répétées afin d’effectuer une analyse statistique. Aucun cas d’exploitation massive n’est observé dans des environnements standards.
Cette vulnérabilité est remontée par les outils de scan lorsque la compression HTTP (gzip / deflate) est activée sur des pages HTTPS susceptibles de contenir des données sensibles (cookies, tokens, identifiants). Elle ne correspond pas à une faille de chiffrement SSL/TLS à proprement parler, mais à une interaction entre compression et chiffrement.
Les bonnes pratiques recommandées consistent à désactiver la compression HTTP sur les contenus sensibles, à éviter l’exposition de données confidentielles dans les réponses HTTP, et à mettre en œuvre des mécanismes de protection complémentaires tels que l’utilisation de tokens aléatoires, l’ajout de bruit (padding) ou la séparation stricte des contenus sensibles et non sensibles. Il est également recommandé de maintenir les serveurs web et applications à jour.
La mise en œuvre de ces bonnes pratiques permet de supprimer l’alerte liée à BREACH, d’améliorer la sécurité globale des échanges HTTPS et de garantir une conformité avec les standards de sécurité actuels, sans impact pour les utilisateurs.