30 secondes. C’est le temps nécessaire à l’attaque BREACH pour décrypter une donnée “secrète” dans une page web transmise compressée au navigateur. En exploitant le fait que les données en clair ont la même taille que les données chiffrées et en mesurant le taux de compression obtenu pour chaque essai, BREACH révèle un par un chacun des caractère du secret. Démontrée en live pour deviner le “canary” de Outlook Web Access utilisé pour protéger l’application contre les attaques de type CSRF, le vol de session est rendu possible et OWA configuré pour transférer tous les mails à une adresse tierce. En 30 secondes.