Failles dans le protocole de sécurité SSL

le 31/07/2009, par Vivien Derest avec IDG news service, Hacking, 673 mots

A la conférence 'Black Hat', des chercheurs considèrent que des failles dans le protocole de sécurité SSL pourraient être utilisées pour créer des attaques de type 'man-in-the middle' (MITM) indétectables. Des chercheurs en sécurité ont trouvé de sérieuses failles dans des logiciels utilisant le protocole de cryptage SSL (Secure Sockets Layer), qui sert à la sécurisation des communications sur Internet. Lors de la conférence 'Black Hat' de Las Vegas, le jeudi 30 juillet, des chercheurs ont révélé plusieurs attaques qui pourraient être utilisées pour compromettre un trafic sécurisé d'informations entre les sites Web et les navigateurs. Ce type d'attaque pourrait permettre à un pirate de voler des mots de passe, de pirater un session bancaire en ligne, voire même d'installer une mise à jour pour Firefox contenant du code malveillant, selon les chercheurs. Le problème vient de la façon dont beaucoup de navigateurs ont implémenté SSL, ainsi que de l'infrastructure système de la clé publique X.509 qui est utilisée pour gérer les certificats numériques utilisés par SSL pour déterminer si un site est digne de confiance ou non. Un chercheur en sécurité qui se fait appeler 'Moxie Marlinspike' a montré une méthode pour intercepter du trafic SSL en utilisant ce qu'il appelle un certificat 'null-termination'. Pour que cette attaque fonctionne, Marlinspike doit déjà réussir à installer son logiciel sur le réseau local. Une fois que c'est fait, il détecte le trafic SSL et présente son certificat 'null-termination ' pour intercepter les communications entre le client et le serveur. Une attaque du type man-in-the-middle indétectable, selon lui. L'attaque expliquée par Marlinspike est extrêmement proche d'un autre type d'attaque assez commune, l'injection SQL, qui envoie des données spécifiquement conçues au programme en espérant le pousser à faire quelque chose qu'il ne devrait pas. Il a découvert que s'il créait des certificats pour son propre domaine internet qui incluait des caractères 'nuls' (souvent représentés par \0), certains programmes interprèteraient mal le certificat. En effet, certains programmes arrêtent de lire le texte quand ils voient un caractère 'nul'. Ainsi, un certificat issu par exemple à www.paypal.com\0.thoughtcrime.org pourrait être lu comme appartenant à www.paypal.com. Le problème est largement répandu, selon Marlinspike, et affecte Internet Explorer, les logiciels VPN (virtual private network), les logiciels de messagerie instantanées et les clients e-mails, et Firefox version 3. Pire encore, les chercheurs Dan Kaminsky et Len Sassaman ont annoncé avoir découvert qu'un grand nombre de programmes dépendent de certificats issus à partir d'une technologie cryptographique obsolète appelée MD2, considérée comme peu sûre depuis longtemps. Le MD2 n'a pas encore été décrypté, mais ça serait une question de mois pour un pirate déterminé, explique Dan Kaminski. L'alogorythme MD2 avait été utilisé il y a 13 ans par VeriSign pour auto-signer "l'un des principaux certificats au coeur de chaque navigateur de cette planète", explique Dan Kaminsky. VeriSign a arrêté de signer des certificats en utilisant MD2 en Mai, a déclaré Tim Callan, Vice président du marketing produit chez VeriSign. Cependant, "Un grand nombre de sites Web sont basés sur ce certificat. On ne peut pas s'en débarrasser sans se débarrasser du Web.", remarque Dan Kaminski. Le développeurs de logiciels peuvent, cependant, définir que leurs produits ne font pas confiance aux certificats MD2. Ils peuvent aussi programmer leurs produits pour ne pas être vulnérables à une attaque de type 'Null termination'. Firefox 3.5 serait au jour d'aujourd'hui le seul navigateur à avoir corrigé ce problème, selon les chercheurs. C'est la deuxième fois au cours des 6 derniers mois que le SSL occupe le devant de la scène. A la fin de l'année dernière, des chercheurs avaient trouvé le moyen de créer une autorité de délivrance de certificats qui pouvait délivrer des certificats bidons, mais pourtant acceptés par n'importe quel navigateur. Dan Kaminsky et Len Sassaman estiment qu'il y a beaucoup de problèmes dans la façon dont sont délivrés les certificats SSL qui les rendent peu sécurisés. Tous les chercheurs sont d'accord sur le fait que le système x.509 qui est utilisé pour gérer les certificats SSL est trop vieux et doit être corrigé.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...